architecture - 当人们使用不同的提供商进行 SSO 时，我应该镜像帐户创建吗？

问题描述

编辑

似乎 keyclock 为 SSO 提供了 google 等等。所以我最终只使用了keycloack，而不是让他实现谷歌

这个问题有点笼统，不涉及任何特定语言。对不起，如果这个问题看起来有点愚蠢。

我正在尝试使用 openid 连接协议构建一些 API 服务，所以在这种情况下，这意味着我只需要授权我的用户进行 API 访问（他们会检查 token_access 是否有效）。

但为此，它们必须首先从其他层（如前端）进行身份验证。我将为此使用 Keyclock。

我的问题是：当人们第一次使用 Google、Twitter 等进行 SSO 时。我是否也应该在 keycloak 中将用户的电子邮件地址镜像为字段（设计上是唯一的），以便为他们提供 keycloak 生成的令牌。API 将依次要求 keycloak 服务检查令牌并检查它是否在范围内以及令牌是否有效。

我有点迷路了，因为这意味着我需要创建一些没有密码字段的帐户。那些将使用 keycloak 创建帐户的人将使用自己的密码，但出于明显的安全原因，来自 google 和 twitter 的人不能。当然，我可以根据电子邮件足迹生成一个。但这是一个好的做法吗？

我没有看到任何其他解决方案。同时，我不知道如何让用户在没有“hack”的情况下访问我的 API 端点，即使他们将通过前端接口间接使用它。任何想法？

谢谢

标签： architectureopenid-connectkeycloak