用于传统用户管理的OpenID连接身份验证提供程序?
我们拥有自主研发的专有用户管理和自主研发的单点登录功能。(当时OpenID连接还没有诞生)
我们的认证服务器和胖客户端在一个私有网络中,没有互联网接入。
任务是集成第三方胖客户端-它的用户应该根据我们现有的身份验证服务器进行身份验证。
总体思路是使用现有的面向未来的框架,该框架提供标准的身份验证接口(如Keycloak?)并实现我们自己的OpenID连接身份验证提供程序(或用于密钥包的用户存储SPI )。
使用keycloack和用户存储SPI的方式是否值得推荐,或者是否有更好的方法?
回答 2
Stack Overflow用户
发布于 2021-07-01 20:14:30
正如您所说,这是满足您当前需求的一个很好的选择:
- 外部客户端使用现代的OpenID连接流程-例如,桌面应用程序的OIDC
- 它连接到支持基于标准的授权服务器endpoints
- Authorization服务器具有对数据源的可扩展支持,并且可以潜在地访问您现有的用户数据源
举个例子,我工作的Curity支持multiple data sources,如果有用的话,还有一个free community edition。
不过,任何满足同样要求的提供商都可以--我听说过一些关于Keycloak的好消息。
长期
这是有意义的,然后逐步更新其他应用程序,以使用现代的OAuth和OIDC行为。
在适当的时候,值得将授权服务器作为访问个人可识别用户数据的唯一位置,并将存储移动到那里。请参阅此data privacy article以了解其中的一些优点。
Stack Overflow用户
发布于 2021-07-09 13:45:53
我可以担保Keycloak用户存储SPI方法。最近为一个项目实现了这一点,并且运行得很好。对于任何现有的用户数据库,我强烈推荐它。
我在github上找到了一些示例源代码,您可以查看(尽管需要进行一些修改才能运行它):https://github.com/mfandre/KeycloakSPI
我还写了一篇文章,总结了我使用Keycloak的发现,如果你对其他特性感兴趣的话:https://dev.to/kayesislam/keycloak-as-oidc-provider-42ip
它是非常可定制的。
https://stackoverflow.com/questions/68209728
复制相似问题
腾讯云开发者
