我计划一种设置,其中Keycloak Gatekeeper位于多个后端服务的前面。
我的第一个想法是,这些服务可以通过用户的JWT进行授权。 即使请求在JWT过期前仅1秒通过Gatekeeper,也可能会发生。后端服务A会接受JWT,但是当它调用后端服务B时,JWT将由于过期而被拒绝。后端服务B无法告诉用户浏览器刷新令牌。
是否可以配置Keycloak Gatekeeper刷新令牌,不仅在令牌已过期时,例如他们要确保任何后端活动的最短生存时间都在30秒之前?
还是在后端内部仅使用OAuth2“客户端凭据授予”流是“最佳实践”?
后者意味着后端服务在彼此之间必须更多地相互信任 可以随时随地发出请求,而不仅是用户活动的一部分。