9.11. 检索外部 IDP 令牌

使用 Red Hat Single Sign-On，您可以使用 IDP 设置页面上的 存储 令牌和来自身份验证流程的令牌和响应。

应用程序代码可以检索这些令牌和响应以导入额外的用户信息，或者安全地请求外部 IDP。例如，应用程序可以使用 Google 令牌来使用不同的 Google 服务和 REST API。要检索特定身份提供程序的令牌，请按如下所示发送请求：

GET /auth/realms/{realm}/broker/{provider_alias}/token HTTP/1.1
Host: localhost:8080
Authorization: Bearer <KEYCLOAK ACCESS TOKEN>

GET /auth/realms/{realm}/broker/{provider_alias}/token HTTP/1.1
Host: localhost:8080
Authorization: Bearer <KEYCLOAK ACCESS TOKEN>

应用程序必须通过 Red Hat Single Sign-On 进行身份验证并接收访问令牌。此访问令牌必须设置 broker 客户端级角色 read-token，因此用户必须拥有此角色的角色映射，客户端应用程序必须在其范围内拥有该角色。在这种情况下，因为您要在 Red Hat Single Sign-On 中访问受保护的服务，请在用户身份验证期间发送红帽单点登录发布的访问令牌。您可以通过将 Stored Tokens Readable 开关设置为 ON，将这个角色分配给代理配置页面中新导入的用户。

这些外部令牌可以通过供应商再次登录或使用客户端发起的帐户链接 API 来重新建立。