![](/img/trans.png)
[英]How to give client role based access in keycloak spring adapter?
[英]How can Keycloak Spring Security Adapter validate access token using public Keycloak client?
我的理解是不能使用公共客户端调用 Keycloak 令牌自省。 但不知何故,即使 keycloak.public-client=true,Keycloak Spring 安全适配器也会验证访问令牌。 我尝试深入研究代码,但找不到答案。
我的问题是,如何使用公共客户端进行验证? Keycloak Spring 安全适配器是否内置了一些解决方法?
JWT 验证不需要将令牌提交给其发行者。 它检查诸如exp
和iss
声明之类的东西以及令牌签名(服务器公钥加载一次)。
Keycloak 发出 JWT 访问令牌。 资源服务器中的 Spring-security 不需要自省 JWT,它只是读取它。
您可以使用https://jwt.io 之类的工具打开 JWT 访问令牌并探索它包含的数据(并确定您可以设置哪些安全规则)。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.