我想保护REST服务(使用Keycloak适配器在Tomcat中运行)作为public客户端,以允许用户获取具有用户名/密码的身份验证令牌,还允许应用程序安全地访问服务例如使用API密钥之类的东西。
我不认为Keycloak支持API密钥的概念(正确吗?),而是允许将客户端定义为confidential并允许service accounts。但是从我的角度来看,一个客户要么是public要么是confidential,不能两者兼而有之,服务帐户只能与confidential个客户一起使用。
我该怎么做?