architecture - 当人们使用不同的提供商进行 SSO 时,我应该镜像帐户创建吗?
问题描述
编辑
似乎 keyclock 为 SSO 提供了 google 等等。所以我最终只使用了keycloack,而不是让他实现谷歌
这个问题有点笼统,不涉及任何特定语言。对不起,如果这个问题看起来有点愚蠢。
我正在尝试使用 openid 连接协议构建一些 API 服务,所以在这种情况下,这意味着我只需要授权我的用户进行 API 访问(他们会检查 token_access 是否有效)。
但为此,它们必须首先从其他层(如前端)进行身份验证。我将为此使用 Keyclock。
我的问题是:当人们第一次使用 Google、Twitter 等进行 SSO 时。我是否也应该在 keycloak 中将用户的电子邮件地址镜像为字段(设计上是唯一的),以便为他们提供 keycloak 生成的令牌。API 将依次要求 keycloak 服务检查令牌并检查它是否在范围内以及令牌是否有效。
我有点迷路了,因为这意味着我需要创建一些没有密码字段的帐户。那些将使用 keycloak 创建帐户的人将使用自己的密码,但出于明显的安全原因,来自 google 和 twitter 的人不能。当然,我可以根据电子邮件足迹生成一个。但这是一个好的做法吗?
我没有看到任何其他解决方案。同时,我不知道如何让用户在没有“hack”的情况下访问我的 API 端点,即使他们将通过前端接口间接使用它。任何想法?
谢谢
解决方案
推荐阅读
- maven - Artifactory 检索最新并忽略 maven-metadata.xml
- mongodb - Nestjs Mongoose,如何通过 _id 删除数组成员?
- c - 字节数据类型函数在 C 中返回什么
- sql - 使用两个日期/时间戳列计算 pod 的总运行时间
- java - Java 字符串结果与 C# 不同
- powershell - 为什么这个 powershell -or 过滤器不起作用?
- azure - 将 Azure Key Vault 与 Azure 应用配置相结合
- linq-to-sql - 如何使用 Linq to Sql 组获取表 A 和表 B 的计数
- css - 我可以使用 Chrome 开发工具找出定义 CSS 属性或值的文件吗?
- regex - 如何仅从数据中提取 IP?