[英]How to secure Keycloak access token
是否可以使用公鑰加密 keycloak 訪問令牌並使用私鑰解密有效負載? 因為,如果有人獲得了 keycloak 訪問令牌,他可以很容易地在https://jwt.io/上看到令牌內容,因為它可以用公鑰解密。
我們可以使用 keycloak 使 JWT 令牌更安全嗎?
根據 JWT 網站的介紹( https://jwt.io/introduction ) - 是的,JWT 令牌可以加密以提供各方之間的保密性。
什么是 JSON Web 令牌?
JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. 此信息可以驗證和信任,因為它是數字簽名的。 JWT 可以使用密鑰(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公鑰/私鑰對進行簽名。雖然 JWT 可以加密以在各方之間提供保密性,但我們將專注於簽名令牌。 簽名的令牌可以驗證其中包含的聲明的完整性,而加密的令牌會向其他方隱藏這些聲明。 當使用公鑰/私鑰對對令牌進行簽名時,簽名還證明只有持有私鑰的一方才是簽署它的一方。
如果您的身份驗證提供商支持,您將需要查閱您的提供商的文檔,例如 AppId、Keycloak、Azure B2C 等,以獲取有關如何對其進行加密的更多信息。
使用Keycloak進行安全保護后,無法使用有效的Keycloak令牌訪問REST服務
[英]Can't access REST service with valid keycloak token after secure with keycloak
Keycloak Spring 安全適配器如何使用公共 Keycloak 客戶端驗證訪問令牌?
[英]How can Keycloak Spring Security Adapter validate access token using public Keycloak client?
如何使用KeyCloak通過基於令牌的訪問實現簡單的Web服務?
[英]How to implement a simple web service with token-based access using KeyCloak?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
