我最近正在研究用于 SSO 的 Keycloak 6.0.1,以对组织中的多个应用程序进行身份验证。我对客户和领域之间的区别感到困惑。
如果我要为 SSO 管理 5 个不同的应用程序,那么我是否必须创建 5 个不同的客户端或 5 个不同的领域?
如果我说我必须在 1 个领域下创建 5 个不同的客户端,那么我可以为同一领域的不同客户端执行不同的身份验证流程吗?
JWT术语一直困扰着我,原因很少.JWT是否适合授权或仅用于身份验证?
如果我错了,请纠正我,但我一直认为授权是允许某人访问资源的行为,但JWT似乎没有任何实际允许访问给定资源的用户的实现.所有JWT实现都在谈论为用户提供令牌.然后,每次调用时都会将此令牌传递给后端服务端点,在后端服务端点检查其是否有效以及是否授予了有效访问权限.因此,我们可以使用JWT对任何用户进行身份验证,但我们如何限制对特定有效用户的访问?
我们如何使用JWT根据他们的角色限制少数用户?JWT是否也提供任何类型的授权细节,或者它只是向我们提供认证?
提前感谢您的帮助并耐心地阅读我的疑问.