2.7. OAuth 2.1 支持
红帽构建的 Keycloak 可让管理员更容易确保其客户端符合这些规格:
此合规性意味着红帽构建的 Keycloak 服务器将验证授权服务器的要求,这在规格中提到。红帽构建的 Keycloak 适配器对 OAuth 2.1 没有任何特定支持,因此客户端(应用程序)端所需的验证可能需要手动或通过其他第三方解决方案完成。
2.7.1. OAuth 2.1 客户端配置集
为确保您的客户端兼容 OAuth 2.1,您可以在域中配置客户端策略,如 服务器管理指南 中所述,并将它们链接到 OAuth 2.1 支持的全局客户端配置文件,这些配置文件在每个域中自动可用。您可以将 oauth-2-1-for-confidential-client
配置集用于机密客户端,或将 oauth-2-1-for-public-client
配置集用于公共客户端。
注意
OAuth 2.1 规范仍是一个草案,未来可能会改变。因此,红帽构建的 Keycloak 内置 OAuth 2.1 客户端配置集也可以改变。
注意
将 OAuth 2.1 配置集用于公共客户端时,建议按照 服务器管理指南中所述 使用 DPoP preview 功能,因为 DPoP 将访问令牌与客户端密钥对的公钥部分绑定在一起。这个绑定可防止攻击者使用 stolen 令牌。