我正在使用Keycloak作为我的身份和访问管理器。
我有一个用例,我需要将敏感信息传输给另一个可信方。流程如下:
通过此流程,受信任的一方可以确信
他们无法确信的是:
他们唯一知道的是他们在我身边打电话的端点看起来像是属于我的公司。但是,如果攻击者以这样的方式拦截请求,即他们返回自己的公钥并能够发布他们自己的私钥签名,那么他们就可以向受信任方传输他们想要的任何数据。
这是x.509证书的来源。可信方需要一种方法来确定另一方的方是我。
截至四天前,Keycloak在5.0.0-SNAPSHOT中出现support x5c
(证书链);这是通过添加/生成新的公钥/私钥对和证书来配置的。如果配置了证书,则可通过JWKS端点使x5c
参数可用。
但是,我还要求提供x5t
(指纹)参数。 Keycloak是否提供或打算在未来提供任何支持?
我创建并制作了KEYCLOAK-9868的拉取请求,以添加x5t
和x5t#S256
JWK参数。这已合并到Keycloak master,应该可以在5.0.0之后的下一个版本中使用。