我们有一个可以创建和管理Keycloak帐户的客户。
该客户端是否有可能代表用户检索令牌而无需创建任何用户密码?实际上,我们想创建用户帐户,而不是设置密码开头。这些用户都不会对自己进行身份验证。
oauth2流似乎都没有与此完全匹配,并且我们想知道是否存在密码授予类型的变体,其中受信任的客户端ID /秘密不需要密码。
到目前为止,我们探讨了一些选项,例如脱机令牌和用户模拟,但是前者需要持久的机密,而后者则依赖于使用Cookie而不是标准OIDC的Keycloak专有功能。
答案 0 :(得分:0)
到目前为止,密钥斗篷中提供了一种实验性的oauth 2令牌交换授权类型:https://tools.ietf.org/html/draft-ietf-oauth-token-exchange-19
@qdivision指出:https://www.keycloak.org/docs/latest/securing_apps/index.html#direct-naked-impersonation 还有Thomas Darimont:https://blog.softwaremill.com/who-am-i-keycloak-impersonation-api-bfe7acaf051a