我们在Keycloak中将一个应用程序定义为机密客户端(这是一个需要登录身份验证的Web应用程序,还需要其API使用者身份验证)。我们的客户如何在不与API使用者共享我们的客户秘密的情况下对API使用者进行身份验证,或者不与他的客户共享密码?
MyApp1的“ keycloak机密客户端”配置是一个不错的选择吗? 我不能认为MyApp2必须具有MyApp1的秘密才能连接 MyApp1中的MyUser。或者必须将MyUser的密码发送到MyApp1。 或MyApp1必须成为公共密钥公开客户端,才能使MyApp2能够 毫无秘密地连接MyUser。
没有其他方法,保持机密,但没有密码,也没有密码 分享?
预先感谢您的帮助。
