上下文:我们通常通过通过授权标头传递令牌来使用Keycloak来保护我们的API。但是,这些API还允许用户下载文件(例如:)https://api.service.io/users.xlsx。
要使用这些“下载端点”,我们的Web客户端应用程序通过查询字符串传递用户的令牌。(例如 https://api.service.io/users.xlsx?accessToken=${bearerToken}))。
问题:通过查询字符串传递令牌有几个安全漏洞(浏览器历史记录,...)。因此,我们希望传递一个寿命很短的令牌(例如,寿命为15秒),而不是普通令牌(默认为300秒)。
问题:我们如何通过以下方式从Keycloak API请求不同的令牌(例如/realms/#{realm_id}/protocol/openid-connect/token):