我有一个带有领域和客户端的Keycloak服务器设置。我在客户端上具有授权设置,并且能够在管理界面中评估身份验证。
当我单击“显示授权数据”时,可以在响应中看到带有authorization的{{1}}属性。
我有一个Web客户端,该客户端使用通过keycloak进行的重定向进行oidc身份验证。我想限制哪些关键时钟用户能够登录到客户端,所以我想授权登录,但是我无法在JWT中看到permissions属性。
我是完全误解了它的工作原理,还是可以做些什么来查看该属性?
答案 0 :(得分:0)
好的,我终于绕过去了。简短的回答-我需要使用RTFM。
长答案-我需要打两次令牌终结点。第一次使用grant_type = authorization_code获取访问令牌。然后再次使用grant_type = urn:ietf:params:oauth:grant-type:uma-ticket(以及标头中的访问令牌)来获取密钥斗篷客户端进行身份验证。
如果第二个响应返回为403-access_denied,则我拒绝登录,否则,我允许用户登录到我的系统。
可以在文档中找到我需要的特定位:https://www.keycloak.org/docs/6.0/authorization_services/#_service_obtaining_permissions