Правильно ли я понимаю, что после входа вы предлагаете сделать свои куки с неограниченным сроком действия? Или вы планируете ограничивать время жизни этих куки для безопасности?
Keycloak нужен приложениям, а не пользователям. Пользователь просто вводит логин на странице Keycloak, а приложение через OIDC получает токены для входа. Google - это свой собственный IdP с OIDC. Выбрасывать токены и держать вечные куки - плохая идея по инфобезу. Это дыра в безопасности. Лучше синхронизировать сессию с токенами или перепроверять у IdP, чтобы избежать проблем - несанкционированного доступа.
Приятно! Спасибо)
Замолвил - https://habr.com/ru/articles/927286/ :)
Как скажут инфобез и архитектор так и будет: они решают, что ставить, исходя из бюджета и инфраструктуры. Всё в SSO компромисс, идеала нет)
Правильно ли я понимаю, что после входа вы предлагаете сделать свои куки с неограниченным сроком действия? Или вы планируете ограничивать время жизни этих куки для безопасности?
Keycloak нужен приложениям, а не пользователям. Пользователь просто вводит логин на странице Keycloak, а приложение через OIDC получает токены для входа. Google - это свой собственный IdP с OIDC. Выбрасывать токены и держать вечные куки - плохая идея по инфобезу. Это дыра в безопасности. Лучше синхронизировать сессию с токенами или перепроверять у IdP, чтобы избежать проблем - несанкционированного доступа.
Об этом следующая статья будет, с примерами из гита)