在我现在正在开发的系统中,我想在我的 Keycloak 服务器中使用 Keycloak 的 admin REST API 获取用户的 ID 令牌,而不知道用户的密码(即,仅使用管理员用户的密码)。
也就是说,我想要一个像
GET /{realm}/users/{id}/id-token.
是否有可能实现这一点?
(Keycloak 的文档说可以实现自定义 API 端点(https://www.keycloak.org/docs/latest/server_development/index.html#_extensions_rest),但我不确定是否可以添加我想要的功能。)
这听起来像是一个非常危险的功能(IDP 管理员可以假装是其 IDP 用户池中的任何用户)。但是您仍然缺少一个输入-客户端。每个客户端可能会生成不同的令牌。
我会说你可能需要:
1.) 示例访问令牌功能(不是 ID 令牌!)
检查GET /{realm}/clients/{id}/evaluate-scopes/generate-example-access-token端点
https://www.keycloak.org/docs-api/11.0/rest-api/index.html
2.) 模拟功能
https://www.keycloak.org/docs/latest/server_admin/#impersonation
3.) 在 Keycloak 中自行实现,因此它完全符合您的需求。