Как работает протокол OpenID Connect в системе Keycloak?

Протокол OpenID Connect в системе Keycloak работает следующим образом: www.redpill-linpro.com

1. Владелец ресурса инициирует запрос на авторизацию, например, пытаясь получить доступ к ограниченному ресурсу без действующей сессии или токена или нажимая на кнопку «Войти». www.redpill-linpro.com
2. Владелец ресурса проходит аутентификацию и авторизацию в сервисе, включённом OpenID Connect, и перенаправляется обратно в приложение с кодом авторизации. www.redpill-linpro.com
3. Сервер обменивается кодом авторизации, и клиентский сервер приложения получает токен доступа и токен идентификации. www.redpill-linpro.com

Есть два варианта использования OIDC: wjw465150.gitbooks.io

1. Приложение просит сервер Keycloak аутентифицировать пользователя. wjw465150.gitbooks.io После успешного входа приложение получает токен идентификации и токен доступа. wjw465150.gitbooks.io Токен идентификации содержит информацию о пользователе, такую как имя пользователя, электронную почту и другую информацию о профиле. wjw465150.gitbooks.io Токен доступа подписан цифровой подписью и содержит информацию о доступе (например, сопоставления ролей пользователя), которую приложение может использовать, чтобы определить, к каким ресурсам пользователь может получить доступ в приложении. wjw465150.gitbooks.io
2. Клиент хочет получить доступ к удалённым сервисам. wjw465150.gitbooks.io В этом случае клиент просит Keycloak получить токен доступа, который можно использовать для вызова других удалённых сервисов от имени пользователя. wjw465150.gitbooks.io Keycloak аутентифицирует пользователя, затем спрашивает у него согласие предоставить доступ запрашивающему его клиенту. wjw465150.gitbooks.io После этого клиент получает токен доступа. wjw465150.gitbooks.io С его помощью клиент может совершать вызовы REST к удалённым сервисам. wjw465150.gitbooks.io REST-сервис извлекает токен доступа, проверяет его подпись и на основе информации о доступе внутри токена решает, обрабатывать ли запрос. wjw465150.gitbooks.io