我正在创建一个移动应用程序,它将与我的 REST Web 服务通信,用于login、GET、POST和。我一直在试图弄清楚如何使用 Keycloak 保护这些 REST Web 服务。我不希望移动应用程序上有任何 In Browser Login,因此我倾向于使用 Direct Grant API 和 Admin REST API 进行身份验证和令牌验证。但是,现在在查看了 Keycloak 上的可用选项之后,必须拦截来自移动应用程序的每个请求,然后对 Keycloak 模块进行 REST 调用以验证令牌,然后将响应返回给移动应用程序。DELETElogout
有没有更好的方法来做到这一点?一些内置函数调用来检查令牌的有效性,而不是对来自移动应用程序的每个请求进行 HTTP 调用?我认为这是一个巨大的开销。
我的服务器在 JBOSS 上。Spring、Resteasy 和 Keycloak-services 被用于找出解决这个问题的方法。