KeyCloak utilise le flux de code d'authentification avec un relais de jeton pour réaliser un SSO inter-domaine

Objectif: démontrer la mise en œuvre du flux de code d'autorisation OIDC avec une architecture de relais de jeton pour réaliser un seul signe unique (SSO). Contexte: La société dispose actuellement d'un site Web d'assurance en ligne, l'URL est https://insurance.mycompany.com. Il prévoit un nouveau site Web de plateforme de rassemblement, qui sera développé et géré hors du comité, et l'URL est https://rewards.outsource.com. Étant donné que le site Web de la plate-forme de rassemblement est externalisé, le nom de domaine est différent de l'assurance en ligne, et il est impossible d'utiliser des cookies pour réaliser SSO, il est donc prévu d'utiliser l'architecture de relais de code d'autorisation OIDC + Token pour atteindre SSO. Brève description de la solution: Laissez les deux sites Web utiliser KeyCloak comme source d'identité partagée (IDP), le processus est le suivant: Flux de code d'autorisation: l'utilisateur visite tout site Web (comme le site Web Jidian). Ce site Web détecte que l'utilisateur n'est pas connecté et guide la page de connexion KeyCloak. KeyCloak détecte qu'il a été connecté (car un autre site Web a été connecté et a une session) et revient à Redirect_uri. Le site Web utilise le code pour échanger contre un jeton d'accès / jeton ID. Pourquoi cette solution peut-elle mettre en œuvre le SSO inter-domaine: parce que tous les sites Web utilisent KeyCloak pour se connecter, après se connecter, le jeton est stocké dans le cookie du site Web de KeyCloak. Lorsque le site Web utilise le flux de code d'autorisation pour se convertir à KeyCloak, KeyCloak peut juger l'état de connexion de l'utilisateur. Si vous vous êtes connecté, l'authentification sera générée. Code