问凯克雅克。用外部数据库存储SPI

EN

用户数据源

移动到系统(如Keycloak )将需要关于如何管理用户字段的体系结构设计。有些用户字段将需要迁移到由Keycloak管理的标识数据库。然后，应用程序可以在令牌中接收对这些字段的更新。

KEYCLOAK数据

Keycloak将期望拥有自己的用户帐户存储，这是每个用户的subject claim将来自的地方。如果一个新用户注册了，那么在您的业务数据中创建之前，将在这里创建该用户。

如果密钥披风用户数据是在forgot password工作流中发送的，则它们将包括诸如名称和电子邮件之类的字段。如果愿意，可以在业务数据中保留大多数其他用户字段。

因此，总而言之，迁移是必要的，但是您不必迁移所有的用户字段。

业务数据

这可能包括您希望保留的其他用户字段，但也包括在访问令牌和API中的授权使用中。例如roles、permissions、tenant ID、partner ID、supscription level之类的值。

设计步骤

我的最近的博客文章介绍了一些例子，并提出了一种思考端到端流的方法。这里提到了几种不同的用户数据场景。

这是值得做一两天的草图，你希望你的系统如何工作。特别是您的API将如何授权请求，以及如何管理现有的和新的用户。这避免了以后发现昂贵问题的可能性。