我们有一个应用程序定义为 Keycloak 中的机密客户端(它是一个需要登录身份验证的 Web 应用程序,但也需要其 API 消费者身份验证)。我们的客户如何在不与他分享我们的客户秘密的情况下验证 API 使用者,他也不与我们的客户分享他的密码?
MyApp1 的“keycloak 机密客户端”配置是一个不错的选择吗?我不能假设 MyApp2 必须拥有 MyApp1 的密码才能与 MyApp1 中的 MyUser 连接。或者它必须将 MyUser 的密码发送到 MyApp1。或者 MyApp1 必须成为 public keycloak 客户端,以便 MyApp2 能够在没有秘密的情况下连接 MyUser。
有没有其他方法,既保密又不保密,也没有密码共享?
提前感谢您的帮助。