2017-09-19 77 views
2

評估可能利用KeyCloak來保護API ---仍然圍繞KeyCloak進行思考。Keycloak - OAuth2 - 同意頁面

工作流程: 1)用戶訪問應用程序A 2)用戶經由Keycloak ID連接驗證到應用程序A 3)應用的調用平臺X的API - 上平臺X API由KeyCloak的OAuth2保護 - 爲了檢索用戶的PII(例如郵件,地址,最喜歡的啤酒)

問題:KeyCloak可以向用戶提交上述步驟3的同意書 - 即該用戶同意應用程序A可以調用Platform X的API來檢索用戶數據關於郵件,地址,最喜歡的啤酒?

回答

0

這取決於......如果這兩個應用程序是完全獨立的,但它們都位於相同keycloak服務器中的同一個Realm中,那麼您可以在不需要檢索信息作爲令牌的應用程序之間實施SSO從Keycloak收到的信息將可用於App X,並提供給App A相同的內容.API將會以您與App A的身份相識。這意味着您將「自動登錄」。

但是,如果它們使用兩個不同的Keycloak服務器實例進行保護,則第二個應用程序應顯示同意消息。例如,我的約會網站使用Keycloak進行保護,要求您連接到Facebook,以便填充您希望與某人匹配的網頁列表... Facebook登錄對話框將彈出供您登錄,然後詢問您是否允許應用程序A查看您喜歡的頁面和興趣。