我有 3 个应用程序
- 旧的基于 JSP 的 Java 应用程序
- Spring Boot 网络应用程序
- 温泉
- 5个使用Spring Boot构建的java微服务REST API
我需要同时保护所有这些。我选择了 keycloak,因为这似乎是个好主意。因为我们使用 Apache 进行反向代理。我们选择了 mod_auth_openidc 来限制对反向代理级别的服务的访问。
我们为 Spring Webapp 和旧的 JSP 应用构建了扩展,以使用 mod_auth_openidc 提供的标头来处理活动用户和身份验证。
现在我们遇到了一个问题,即我们还使用 mod_auth_openidc 标头保护 API。尽管这有一个严重的缺点,因为 API 不能仅使用 JWT 令牌相互通信,因为反向代理需要对它们进行身份验证。
我们是否应该只使用 JWT 来保护 API?
任何 mod_auth_openidc 大师都知道这种情况的最佳方法吗?
我需要 REST API 能够在没有任何用户交互的情况下相互交谈。例如,仅使用令牌。
我们的网络应用程序(JSP 和 SPA)始终是完全安全的,例如用户必须登录才能访问它的任何部分。
我将不胜感激任何建议。
谢谢