我想使用“直接访问授权”对keydrope进行身份验证:https://www.keycloak.org/docs/latest/server_admin/index.html#resource-所有者密码凭据授予直接访问授权
当key斗篷自己管理用户和密码时,我的工作就像一个魔咒。
但是,我的情况不同:
我想keydrope充当一些外部idp的经纪人。key斗篷具有身份代理功能,但只在“授权代码流”中工作,将用户重定向到外部idp登录表单。我有移动应用程序,并希望ot使用“直接访问授权”-这样的应用程序与keydrope通信,以验证用户-和keydrope,作为一个经纪人,验证这个用户(使用openid连接)在外部idp
如何实现这样的场景?我知道这是不可能的开箱即用-但也许有人可以建议如何写一个扩展到keydepot使这种情况成为可能?
1条答案
按热度按时间6pp0gazn1#
您是否坚持将直接访问授权作为移动应用程序中的用户身份验证方法?在我看来,当idp是第三方服务时,您需要使用授权代码流,因为它不会提供api来验证用户,即使使用您自己的(第一方)idp,最好使用oauth 2.0安全最佳当前实践第2.4节中所述的授权代码流。
要在移动应用程序中实现授权代码流,您需要使用应用程序浏览器选项卡来显示idp提供的登录屏幕。有关详细信息,请参阅rfc 8252:oauth 2.0 for mobile and native apps。