我有3个申请
我需要同时保护所有这些。我选择了keycloak,因为它似乎是一个好主意。因为我们使用Apache进行反向代理。我们选择了mod_auth_openidc来限制对反向代理级别的服务的访问。
我们为Spring Webapp和旧JSP应用程序构建了Extensions,以使用mod_auth_openidc提供的头来处理活动用户和身份验证。
现在我们遇到了一个问题,即我们还使用mod_auth_openidc标头来保护API。虽然这有一个严重的缺点,因为API不能仅使用JWT令牌相互通信,因为反向代理需要对它们进行身份验证。
我们应该仅使用JWT保护API吗?
任何mod_auth_openidc大师都知道这种情况的最佳方法吗?
我需要REST API才能在没有任何用户交互的情况下相互通信。例如。只使用令牌。
我们的网络应用程序(JSP和SPA)始终是完全安全的,例如用户必须登录才能访问它的任何部分。
我很感激任何建议。
由于