Я хотел бы аутентифицировать службу отдыха (RS) на сервере Keycloak (KS).
Доступ к RS осуществляется через приложение (APP), а не через браузер, например.
До сих пор я понял, что действовать можно следующим образом:
- APP аутентифицируется на KS и получает ACCESS_TOKEN.
- APP отправляет запрос на передачу RSкаким-то образом ACCESS_TOKEN.
- RS извлекает ACCESS_TOKEN и проверяет / декодирует его, чтобы получить необходимую информацию, связанную с пользователем.
Мне трудно найти правильный JAVA API длявыполнить шаг (3).
Пока что я «проверил» токен с помощью TokenVerifier (настройка с использованием открытого ключа RSA KS) => TokenVerifier.verify ().После проверки я анализирую его для декодирования с использованием.Пока все хорошо.
Еще один шаг, который я хотел бы достичь, - убедиться, что ACCESS_TOKEN все еще действует в KS.Но я не нашел никакого API JAVA для этой цели.Поэтому вместо этого я отправил регулярный HTTP-запрос к конечной точке UserInfo, используя ACCESS_TOKEN.
Так есть ли какой-либо JAVA API для проверки правильности ACCESS_TOKEN?
Я делаю это?Правильно для такого сценария?