我们正在使用Keycloak对使用“内部网站”的用户进行身份验证。
这是一个相对简单的场景,其中用户被重定向到Keycloak登录屏幕,并且在身份验证之后,他可以使用网站...
但是Service 2 Service Communication呢? 例如,服务A要使用服务B(例如,用python flask编写的REST服务)。正确的是,服务A直接联系Keycloak以获得该客户端的访问令牌:http://keycloak-domain/auth/realms/master/protocol/openid-connect/token 并在Auth标头中发送此服务B,并且服务B是否确实验证令牌脱机?服务B如何知道令牌已被吊销?
我认为OIDC更像是委托身份验证,如何保护api?首选使用python或curl的简单示例...
预先感谢