| description |
|---|
Что важного в настройке |
В OpenID Connect, как положено, имеется Access Token, который нужно включать в заголовок Authorization, чтобы получить те же сведения о пользователе, и Refresh Token, который нужен для обновления Access Token. А ещё есть ID Token.
Именно ID Token является JWT токеном, который можно проверить публичным RSA ключом. И именно там содержатся некоторые сведения о пользователе. Можно не делать дополнительных запросов на Keycloak, а сразу извлечь всё, что надо, из ID Token.
Политика Keycloak - основана на адаптерах.
Direct Access Grants. Чтобы избежать большого количества хождения по сети сервисов к Keycloakдля валидации токенов при каждом реквесте, забирать из Keycloak публичный ключ при старте сервиса и каждый сервис валидирует токен, этим публичным ключом.
{% file src="../.gitbook/assets/Rukovodstvo_po_ekspluataczii_IAM_9e95410b16.pdf" %}