对于我们的应用程序,我们有一个设置,应用程序管理员用户可以定义自己的角色并为这些角色分配某些应用程序权限。
我们现在正在寻找一个集中的身份验证系统,而我的目光落在了 Keycloak 上。
整体概念很棒,我可以使用 OIDC 将我的客户端应用程序登录到 Keycloak,它将中继到可能的 IDP 列表。
然而,问题在于如何处理所有特权。总的来说,每个用户将有大约 40 个,这意味着由于其大小,我无法在 JWT 令牌本身中删除它们。
对于客户端应用程序,它实际上甚至无关紧要,因为它拥有自己的 api 并且只需要识别用户。但是,当该客户端应用程序调用其中一个微服务时,该服务应该知道用户是否拥有进行调用所需的权限。
希望有人能指导我完成这个过程。
最好的, 皮姆