KeyCloak verwendet den Authentifizierungscode-Fluss mit Token-Relais, um Cross-Domänen-SSO zu erreichen

Zweck: Demonstration der Implementierung des OIDC-Autorisierungscodeflusses mit Token-Relais-Architektur, um ein einzelnes Zeichen für das einzelne (SSO) zu erreichen. Hintergrund: Das Unternehmen hat derzeit eine Online -Versicherungswebsite. Die URL ist https://inSurance.mycompany.com. Es plant eine neue Website für Sammelplattform, die aus dem Komitee entwickelt und verwaltet wird, und die URL lautet https://rewards.outsource.com. Da die Website der Sammelplattform ausgelagert wird, unterscheidet sich der Domain -Name von der Online -Versicherung und es ist unmöglich, Cookies zu verwenden, um SSO zu erreichen. Daher ist es geplant, den OIDC -Autorisierungscode Flow + Token Relay Architecture zu verwenden, um SSO zu erreichen. Kurze Beschreibung der Lösung: Lassen Sie beide Websites KeyCloak als Shared Identity Source (IDP) verwenden, der Prozess ist wie folgt: Autorisierungscodefluss: Benutzer besucht jede Website (z. B. die Jidian -Website). Diese Website erkennt, dass der Benutzer nicht angemeldet ist, und führt die Keycloak -Anmeldeseite. Keycloak erkennt, dass es angemeldet wurde (weil eine andere Website angemeldet wurde und eine Sitzung hat) und springt zurück zu Redirect_uri. Die Website verwendet Code, um Access Token/ID -Token auszutauschen. Warum kann diese Lösung Cross-Domain-SSO implementieren: Da alle Websites Keycloak verwenden, um sich nach der Anmeldung einzuloggen, wird das Token auf dem Keycloak-Website-Cookie gespeichert. Wenn die Website den Autorisierungscodefluss verwendet, um in KeyCloak zu konvertieren, kann KeyCloak den Anmeldestatus des Benutzers beurteilen. Wenn Sie sich angemeldet haben, wird die Authentifizierung generiert. Code