пароль keycloak ha sh в конечной точке токена

Question

Это то, что я делаю: у меня есть вызов (логин) REST API, который принимает имя пользователя и пароль, и с его помощью я вызываю следующий API:

auth/realms/<realm-name>/protocol/openid-connect/token

Я также передаю идентификатор клиента , имя пользователя и пароль в данных POST. и получите правильные результаты. Нет проблем.

Однако я хочу кодировать пароль при его отправке в приведенном выше вызове REST API вместо использования фактического текста. Фактически, я хочу, чтобы пароль был закодирован, даже когда кто-то вызывает реализованный мной вызов REST API.

Подскажите, пожалуйста, как это можно сделать. Я попытался просто передать хеш-значение, но это не сработало.

Заранее спасибо. Ананд

Answer 1

Отправка пароля в теле запроса POST через HTTPS - это нормально. Хеширование пароля не принесет вам особой дополнительной безопасности: если вы беспокоитесь о перехвате тела запроса, перехват ha sh все равно даст злоумышленнику возможность войти в систему как пользователь.

Если вы беспокоитесь о безопасности, я бы предпочел использовать поток OID C, как и должно быть:

Сервер авторизации должен проявлять особую осторожность при включении [учетных данных пароля владельца ресурса Grant] и разрешают это только тогда, когда другие потоки нежизнеспособны .

источник: OAuth 2.0 RF C

Предпочитайте использовать неявный поток , если ваше приложение является одностраничным приложением, или, что еще лучше, поток кода авторизации .