我需要一些技巧,以了解如何针对Keycloak使用x509证书执行客户端身份验证。
我们在Kubernetes集群中有一个简单的Spring Boot Web App(API REST)。该Web应用通过API网关(大使)公开暴露,并且当前受到浏览器重定向到Keycloak登录页面的保护,用户可以在其中输入用户名和密码。
但是这不是我们想要的。对我们而言,需要进行客户端身份验证(React Native Mobile App),其中:
不幸的是,我不明白如何从用户数据(信息,角色等)生成有效且受信任的x509证书,以便从IdP获取访问令牌。
而且... IdP如何检查和验证此客户端证书?是否需要在Keycloak上某处安装Server证书副本?
将客户端证书传递给密钥斗篷的正确格式(例如CURL)是什么?是否还需要传递私钥,为什么?
请检查《 Keycloak服务器管理指南》第6部分中的X.509 Client Certificate User Authentication部分,其中描述: