[英]How can Keycloak Spring Security Adapter validate access token using public Keycloak client?
我的理解是不能使用公共客户端调用 Keycloak 令牌自省。 但不知何故,即使 keycloak.public-client=true,Keycloak Spring 安全适配器也会验证访问令牌。 我尝试深入研究代码,但找不到答案。
我的问题是,如何使用公共客户端进行验证? Keycloak Spring 安全适配器是否内置了一些解决方法?
JWT 验证不需要将令牌提交给其发行者。 它检查诸如exp和iss声明之类的东西以及令牌签名(服务器公钥加载一次)。
Keycloak 发出 JWT 访问令牌。 资源服务器中的 Spring-security 不需要自省 JWT,它只是读取它。
您可以使用https://jwt.io 之类的工具打开 JWT 访问令牌并探索它包含的数据(并确定您可以设置哪些安全规则)。
如何在 keycloak spring 适配器中提供基于客户端角色的访问权限?
[英]How to give client role based access in keycloak spring adapter?
使用 Spring Security Adapter 时的 Keycloak 会话超时行为
[英]Keycloak Session Timeout behavior when using Spring Security Adapter
使用 Java Spring Security + KC 适配器的 Keycloak JWT 验证
[英]Keycloak JWT Validation using Java Spring Security + KC Adapter
如何使用 Spring 安全适配器将语言从 web 页面传递到 Keycloak
[英]How to pass language from web page to Keycloak using Spring security adapter
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
