我正在使用密钥斗篷让我的用户通过我的应用程序进行身份验证。我正在尝试将一些功能迁移到一些插件,例如一个WordPress插件。对于这些插件,我想使用通用解决方案,因此我从Microsoft(https://docs.microsoft.com/en-us/office/dev/add-ins/develop/auth-external-add-ins#middleman-services)和Adobe(https://adobexdplatform.com/plugin-docs/tutorials/how-to-integrate-with-OAuth/)找到了以下身份验证过程。
我设法破解了整个过程,以使它与keycloak一起工作。但是此刻,我有点担心此过程带来的安全风险。
步骤逐步
我需要轮询访问令牌的原因是因为我想为所有客户端进行通用登录过程。
简而言之,鉴于上述步骤,我想知道什么是安全隐患。另外,我似乎找不到他们想要实现这种功能的密钥斗篷的任何信息。没有人知道他们是否要实现此功能,因为许多其他插件确实提供了tis功能,可以使用弹出窗口在插件外部进行身份验证,并通过“轮询”服务器来检索访问令牌。
感谢您的帮助。