基于业务属性的Keycloak授权

Question

下面是我的应用程序的工作方式：

用户可以使用我的应用程序的一些功能，如果他们有足够的芯片(令牌)，他们可以从另一个应用程序购买，或者他们可以被授予他们在一些事件，无论什么。

用户有一个与他们相关联的属性，称为“芯片”，它代表一些数字。这个信息可能应该被表示为一个声明。

我想让Keycloak为我做这个授权-检查用户是否可以使用该功能。我遇到过基于JavaScript的策略。他们似乎能够对令牌中的信息进行操作-例如用户电子邮件等，但这不是我的情况，令牌可以包含过时的信息，即当令牌生成时用户有足够的芯片，但从那时起他就花掉了这些芯片。

也许token应该在花费筹码时刷新，但在这种情况下，它是否会使用绑定到用户的当前信息进行更新？或者也许授权服务可以在策略评估期间以某种方式访问数据库？这种方法可行吗?对于这种用例，有没有什么很好的解决方案？

Answer 1

Keycloak不在这里检查用户是否有足够的钱。Keycloak在这里说明用户是否已通过身份验证，以及他是否拥有某个应用程序(管理员、用户...)的角色。

检查用户是否有足够的钱应该在服务器端。对于传入的请求，您必须在数据库中检查用户是否有足够的芯片来访问应用程序，如果没有，则返回403。