KeyCloak带有微额定

Question

给定显示的架构：

• mfe = microfrontend
• spa = javaScript浏览器app
• api-gateway = session tor to token translation

是否可以通过oauth2，用户授予披萨订购的用户同意，但要向他发送通知，但是 不是为了解决“ oauth”空间中的问题：

到目前为止，我的想法 我的想法： 为每个微服务（= oauth2客户端）注册一个KeyCloak机密客户端，并允许用户（资源所有者）单独访问通知服务（范围 /资源服务器）的同意。

但是为我注册多个客户端对我来说似乎很奇怪。 另外，如果用户同意并在请求令牌时附加可选示波器，则后端将需要持续存在。

这是要解决的解决方案，还是有更好的方法来满足要求？

编辑： 附加注意：外部公司可能会提供披萨订购和kebap订购系统，因此我们不希望“相信他们的行为正确”，而是从技术上讲，只有在用户同意的情况下，他们才会发送通知。

（请忘记kebap客户端可以致电Pizza-api的情况...;）

Answer 1

同意

用户只有在涉及个人资产时才应同意。例如，该应用程序可以使用我的电子邮件，但不能使用我的家庭地址。发送通知的权限只是首选项 - 在应用程序中通过在初始登录后完成您的个人资料工作流程。

范围

对应用程序自己的数据的权限是一个不同的概念。最好的做法是通过范围和索赔而不是同意来管理它们。

范围最佳实践文章在这里可能对您有用。它解释了一个客户如何使用多种类型的数据。

它还描述了微服务在需要时如何相互调用，同时安全地维护用户身份。 UIS和API并不总是具有1到1映射。

您的示例

我认为用户可以同意使用电子邮件范围，以授予对电子邮件收件箱的访问。然后通过应用程序中的某种设置屏幕来管理更精细的详细信息。

然后，管理数据连接和访问是您的后端责任。范围对于跨组件调用很有用，尽管我会避免每种食物的范围。合作伙伴的连接将每个人都使用自己的机制，但是您无需让用户参与其中。