edit
Кажется, что keycloack обеспечивает SSO с Google и многое другое.В итоге я использовал только keycloack и не позволил ему реализовать google
Этот вопрос немного общий и не требует какого-либо конкретного языка.И извините, если этот вопрос кажется немного глупым.
Я пытаюсь создать некоторые API-сервисы с протоколом openid connect, поэтому в этом случае это означает, что мне нужно только авторизовать моего пользователя для доступа к API (и онипроверит допустимость token_access).
Но для этого они должны быть сначала аутентифицированы в других слоях, как во внешнем интерфейсе.Я буду использовать Keycloack для этого.
Мой вопрос: когда люди впервые совершают единый вход с Google, Twitter и т. Д. ...Должен ли я отразить пользователя с его адресом электронной почты в качестве поля (которое уникально по своему дизайну) в keycloak, чтобы дать ему токен, сгенерированный keycloak.API, в свою очередь, попросят службу keycloak проанализировать токен и проверить, находится ли он в области действия, и является ли токен действительным.
Я немного потерян, потому что это означает, что мне нужно будет создать какой-тоучетные записи без поля пароля.Те, кто создадут учетную запись с помощью keycloak, будут использовать свой собственный пароль, но те из Google и Twitter не могут по очевидной причине безопасности.Конечно, я могу сгенерировать один на основе почтового следа.Но разве это хорошая практика?
Я не вижу другого решения для этого.В то же время я не знаю, как я могу позволить пользователю получить доступ к моей конечной точке API без этого «взлома», даже если они будут косвенно использовать ее через интерфейс внешнего интерфейса.Есть идеи?
Спасибо