В настоящее время я создаю платформу с Keycloak в качестве IAM-сервера. На этой платформе у меня есть ресурс, который я хочу защитить с помощью ключа API (или нескольких токенов), выпущенного специально для этого ресурса. Этот ключ не должен быть привязан к конкретному c пользователю .
Отличным примером подобной реализации является GitLab Deploy Tokens: пользователь может выдать токен для хранилища, но этот токен не связан с пользователем, который его выпустил. Вместо этого он связан с ресурсом репозитория, и пользователи могут поделиться этим токеном, чтобы получить доступ к ресурсу (хотя они, вероятно, не должны).
Есть ли способ достойно реализовать это в Keycloak?
Я думал о создании пользователя или клиента Keycloak для каждого такого ключа API, который необходимо сгенерировать. Этот пользователь / клиент будет иметь доступ только к этому указанному c ресурсу. Однако это не похоже на правильный способ использования Keycloak Users (или нет?).