将客户端添加到带有一个移动应用程序、一个角度应用程序、一个api网关和4个其他微服务的系统中

Question

在我的项目中，有一个移动应用程序，一个角度web应用程序，4个微服务和一个api网关。具有角色‘代理’的用户可以使用移动应用程序注册客户。这个web应用程序是为用户提供角色“管理器”来查看客户数据并完成客户注册。

1. 在这里，如果我想设置用于身份验证的Keycloak，是否应该将每个微服务添加为单独的客户端？
2. 我应该添加移动应用程序和web应用程序作为单独的客户端在键盘斗篷？

Answer 1

客户端

网络和移动应用程序必须注册为单独的OAuth客户端。他们将有一个客户ID，但没有客户端机密，因为他们是公共客户端。它们将使用PKCE并具有不同的重定向URI，例如：

• 网址：https://www.example.com/callback
• 手机:com.example.app:/回调

API

默认情况下，不需要将API注册为客户端。在大多数设置中，与JWT相关的微服务可以相互转发JWT访问令牌，正如范围文章中所解释的那样。这是维护用户身份的安全方法。

不过，API有时充当客户端，例如如果他们需要以编程方式创建密钥披风中的用户。标识系统提供用户管理终结点来启用此功能。

因此，您的API之一，如用户Microservice，可能需要注册为客户端。它将使用客户端凭据流获得具有SCIM相关作用域的访问令牌。

网关

网关充当内省客户端是很常见的，也是推荐的。这使得返回到internet客户端的访问令牌中的数据能够被保密。在幻影标记模式中了解更多关于这一点的内容。