我们对身份验证流程和 UI/UX 有特定要求,这些要求无法通过 Keycloak 的主题引擎和对 Authenticator SPI 的扩展来满足。
我查看了 Action Token SPI,它似乎是一个扩展点,可用于将(大部分)身份验证流程委托给外部应用程序。根据 keycloak quickstart action-token-authenticator 示例(https://github.com/keycloak/keycloak-quickstarts/tree/latest/action-token-authenticator),它似乎可以专门用于此目的。
对于浏览器身份验证流程,我们的想法是让 keycloak 通过首先验证用户名/密码来启动流程。如果成功,我们会将用户重定向到外部应用程序(向其提供用户的操作令牌和用户名/ID)以执行补充身份验证过程 - 例如自定义 MFA。如果外部应用程序成功执行补充身份验证,它将使用操作令牌重定向回 keycloak,以恢复并完成之前启动的身份验证过程。通过这个外部化的登录过程,我们可以完全控制它的设计/实现方式。
关于这种方法是否可行、安全和正确使用 Action Token SPI 的任何想法/意见?
提前致谢。