java ee应用程序(部署到wildfly)在数据库中为不同用户存储敏感数据,例如访问密钥等。为了解密这些数据 - 它需要与当前用户关联的主密码。为此,使用用户登录应用程序时输入的密码。
现在我正在考虑使用 keycloak 来保护此应用程序的可能性。但看起来没有办法使用 keycloak 获取当前登录用户的密码(因为它使用令牌操作)?要求用户在应用程序中再次输入密码不是一个选项。
问题是 - 是否可以配置 keycloak 为当前用户提供令牌中的常量(秘密)值,该值不会以未加密的方式存储在 keycloak 数据库中?
看起来可以使用自定义的 Authenticator API 获取密码或从中派生的数据。我不是 100% 确定它有效,但这似乎是一个可能的答案。