Я рассчитываю на развертывание Keycloak в качестве нашей системы аутентификации, поскольку она предлагает массу замечательных преимуществ (например, простую интеграцию с IdP клиента и полную поддержку вселенной протоколов oauth2). Основной вопрос, который у меня сейчас возникает, - как аутентифицировать учетные записи служб без отправки имен пользователей и паролей по сети.
То, что я хотел бы сделать, это создать поток аутентификации для учетных записей служб, которые поддерживают подписанный механизм JWT, где пользователь создает подписанный JWT, а затем отправляет его на сервер keycloak, который может проверить его с помощью зарегистрированного publi c ключ для этого сервиса. Keycloak ответил бы токеном Bearer (JWT) и refre sh токеном.
Похоже, что keycloak может сделать это, основываясь на этой ветке списка рассылки: https://lists.jboss.org/pipermail/keycloak-dev/2015-August/005112.html и это объединенный PR: https://github.com/keycloak/keycloak/pull/1545, но их интерфейс изменился с 2015 года, и неясно, как это работает.
Кто-нибудь смог получить keycloak для аутентификации учетных записей служб (а также пользователей) с использованием подписанных токенов? Любые советы о том, как я это сделаю?
Спасибо, -S