Keycloak - OAuth2 - 同意页面

时间:2017-09-19 23:52:41

标签: oauth-2.0 single-sign-on keycloak

评估可能利用KeyCloak保护API ---仍然围绕着KeyCloak。

工作流: 1)用户访问应用程序A. 2)用户通过Keycloak OpenID Connect对应用程序A进行身份验证 3)应用程序A在平台X上调用API - 平台X上的API受KeyCloak OAuth2保护 - 以便在用户上检索PII(比如邮件,地址,最喜欢的啤酒)

问题:KeyCloak可以向用户提供上述步骤3的同意表 - 即该用户是否同意应用程序A可以调用Platform X的API来检索用户w.r.t邮件,地址,最喜欢的啤酒的数据?

1 个答案:

答案 0 :(得分:0)

这取决于...... 如果两个应用程序完全分离,但它们都位于同一个密钥泄露服务器中的同一个领域内,那么您可以在不需要检索信息的应用程序之间实施SSO,因为从密钥泄露中收到的代币将可用于应用程序X提供给App A的内容相同.API会将您视为自己是应用程序A的人。这意味着您将自动登录"。

但是,如果它们使用两个不同的Keycloak服务器实例进行保护,则第二个应用程序应显示同意消息。例如,我的约会网站以Keycloak为安全,要求您连接到Facebook,这样它就会填充您希望与某人匹配的页面列表... Facebook登录对话框会弹出让您登录,然后询问您是否允许App A查看您喜欢的页面和兴趣。