第 5 章 Identity Brokering API

红帽构建的 Keycloak 允许您使用外部 IDP 存储来自身份验证流程的令牌和响应。为此，您可以在 IDP 的设置页面中使用 Store Token 配置选项。

应用程序代码可以检索这些令牌和响应来拉取额外的用户信息，或者安全地在外部 IDP 上调用请求。例如，应用程序可能希望使用 Google 令牌在其他 Google 服务和 REST API 上调用。要检索特定身份提供程序的令牌，您需要发送请求，如下所示：

GET /realms/{realm}/broker/{provider_alias}/token HTTP/1.1
Host: localhost:8080
Authorization: Bearer <KEYCLOAK ACCESS TOKEN>

GET /realms/{realm}/broker/{provider_alias}/token HTTP/1.1
Host: localhost:8080
Authorization: Bearer <KEYCLOAK ACCESS TOKEN>

应用程序必须通过红帽构建的 Keycloak 进行身份验证，并收到访问令牌。此访问令牌需要设置 代理 客户端级别角色 read-token。这意味着用户必须具有此角色的角色映射，并且客户端应用程序必须在其范围内拥有该角色。在这种情况下，由于您在红帽构建的 Keycloak 中访问受保护的服务，您需要在用户身份验证过程中发送由红帽构建 Keycloak 发布的访问令牌。在代理配置页面中，您可以通过打开 Stored Tokens Readable 开关，自动将此角色分配给新导入的用户。

通过再次通过提供程序登录或使用发起的帐户链接 API，可以重新建立这些外部令牌。