在我的Web应用程序中,登录功能是使用Keycloak实现的。在其中一个网页中,有一个密码输入框和一个取消按钮。这个网页的作用是当用户想要取消预订时,需要再次输入密码,然后点击取消按钮。
用户输入密码后如何验证用户身份?
我的想法是,如果我可以获得用户在Keycloak注册的密码,我可以将注册的密码与用户重新输入的密码进行比较。如果两个密码相同,则可以访问取消预订对应的REST API。我的想法正确吗?
允许您查询某人密码的系统是非常不安全的。
如果您希望使用 Keycloak 对用户进行重新身份验证,您可以在授权请求中使用
prompt=login
,然后检查 id_token
的 auth_time
声明是否是最近的。
http(s)://{host}/realms/{realm}/protocol/openid-connect/auth?prompt=login...