3

java ee 应用程序(部署到wildfly)为数据库中的不同用户存储敏感数据,如访问密钥等。为了解密这些数据 - 它需要一个与当前用户关联的主密码。用户登录应用程序时输入的密码用于此目的。

现在我正在考虑使用 keycloak 来保护这个应用程序的可能性。但看起来没有办法使用 keycloak 获取当前登录用户的密码(因为它使用令牌操作)?要求用户在应用程序中再次输入密码不是一种选择。

问题是 - 是否可以配置 keycloak 以在令牌中为当前用户提供一个常量(秘密)值,该值不会未加密地存储在 keycloak 数据库中?

4

1 回答 1

0

看起来可以使用自定义Authenticator API 获取密码或从中派生的数据。我不是 100% 确定它有效,但它似乎是一个可能的答案。

于 2016-04-11T05:13:58.353 回答