密钥斗篷访问令牌与用户信息令牌?
使用KeyCloak时,访问令牌与用户信息令牌有何不同?
从OAuth2/OpenIDConnect中,我了解到访问令牌提供了用户已经通过身份验证的信息,您需要使用用户信息令牌来获取关于用户及其配置文件/角色等的更多信息。
当我看到访问令牌时https://jwt.io/而不是用户信息令牌。我能够获得与用户配置文件相同的信息
为什么会这样,使用Keycloak时访问令牌与用户信息令牌有何不同?
共有2个答案
我设法弄明白了如何在使用Keyclok获取这两个endpoint的不同数据:
KeyCloak为“OIDC令牌和SAML断言映射”提供功能,您还可以“控制声明的放置位置”通过使用按钮:-添加到标识令牌-添加到访问令牌-添加到用户信息通过将一些映射程序的“添加到标识令牌”和“添加到访问令牌”设置为关闭。这些将不包括在AccessToken中,因为它们将在UserInfo响应中。
http://www.keycloak.org/docs/latest/server_admin/index.html#_protocol-制图员
访问令牌旨在为您提供对应用程序资源的访问。为了获得访问令牌,您必须使用规范定义的任何流对自己进行身份验证。在KeyClope中,访问令牌包含用户名和角色,但您也可以使用管理面板添加自定义声明。添加一些声明可能很有用,因为令牌会在每个请求中发送,您可以从应用程序中对其进行解码。
根本没有用户信息令牌,实际上它是一个endpoint。这个endpoint是使用第一步中获得的访问令牌访问的,通常会提供一个包含用户详细信息(如用户数据、角色...)的JSON响应。
-
谁知道如何使用获取id_令牌? 我一直在(Spring,JEE)和postman中与合作。 基本的工作正常,但我需要,因为有一些声明,它们不存在于中,但它们存在于中。 使用库,我可以获得Keycloak上下文,但id_token属性始终为null。 有什么主意吗?
-
我们有一个角度水疗中心,是由OIDC授权使用隐式流。我们使用Keycloak作为我们的授权服务器。访问令牌的寿命很短,并且通过隐藏的iframe定期刷新。 在了解到授权代码流PKCE是授权SPA的新推荐方式后,我们决定切换流。一切正常,但每次我们调用令牌endpoint时,KeyCloak确实会给我们一个刷新令牌(以及Access和ID-Token)。由于没有安全的方法来存储刷新令牌,我们想继续使
-
不知何故,我迷失了Spring Security和Keycloak。 在一个应用程序中,我成功地从KeyClope实例接收了一个访问令牌。然后,我使用这个令牌请求我的Spring Security服务器(它使用相同的KeyClope实例)。 但我得到的只是403个错误。 以下是代码摘录(用kotlin编写): 安全配置: 在我的控制器中: 在我对服务器的调用中,我可以验证授权头的设置如下:auth
-
我正在尝试在API网关(Apache APISIX)后面使用KeyClope。 我使用minikube来运行KeyClope和API网关。 网关正常工作,KeyClope也正常工作: 使用KeyClope,我可以使用不同的endpoint(使用发现endpoint(http://127.0.0.1:7070/auth/realms/myrealm/.well-已知/uma2配置),询问访问令牌并进
-
我遇到了很多文章,很多文章建议使用OAuth over API密钥。据我所知,在OAuth中,我们最终获得了访问令牌,它的有效期为很多天。例如,QuickBooks online OAuth令牌的有效期为6个月。 因此,访问令牌等同于API Key。无论谁得到它,都应该像API密钥一样保护它。OAuth调用应该通过HTTPS进行,类似于基于API Key的调用。 相对于OAuth的另一个优势是授权
-
我有一个angular应用程序作为前端,spring boot作为后端技术,作为授权服务器,我使用的是KeyClope 12.0.4。 我不想在angular和Spring Boot中使用KeyClope适配器,我想使用普通的oauth2 oauth/token,这样我就可以在不需要太多更改代码的情况下将我的授权服务器从KeyClope更改为okta。 我可以使用postman直接点击KeyClo