根据https://www.keycloak.org/docs/latest/server_admin/index.html#_service_accounts上的Keycloak文档,应该在服务器中将使用“客户端凭据授予”流的客户端配置为“访问类型:机密”,并且仅将“已启用服务帐户:true”配置为。效果很好,我可以获取JWT,并在后端服务之间的HTTP请求中将它们与“身份验证承载”一起使用。
在Keycloak的管理GUI中,我也可以选择“访问类型:仅承载” ,这被描述为“不需要浏览器登录的Web服务”。听起来很适合“客户证书授予”流程。虽然不起作用。尝试使用http --auth $clientId:$clientSecret --form POST https://keycloak/auth/realms/testrealm/protocol/openid-connect/token grant_type=client_credentials获取JWT时,它总是返回一个错误请求:
{
"error": "invalid_client",
"error_description": "Bearer-only not allowed"
}
那么Keycloak Admin GUI的“访问类型:仅承载”设置有什么用?
P.S .:令人困惑的是,https://www.keycloak.org/docs/latest/securing_apps/#_java_adapter_config中描述了一个具有相同名称的Java客户端适配器设置-我不是在谈论这个。