openid-connect 标签归档 | 土法炼钢兴趣小组的算法知识备份

【身份与访问控制工程】企业单点登录：OIDC 与现代 SSO

2026-06-13 | architecture · security | #oidc #openid-connect #sso #authentication #authorization-code #pkce #id-token #jwks #rp-logout

OIDC 是当下企业 SSO 的事实标准，但大多数实现只用了它 20% 的规范。本文从 OIDC 核心规范出发，拆解 Authorization Code Flow + PKCE 的完整交互、ID Token 的验证规则、Discovery 与 Dynamic Registration 的互操作性机制，以及 RP-Initiated Logout 和 Session Management 的工程实现细节。

【身份与访问控制工程】Keycloak 工程拆解：Realm、Client、Flow 与扩展机制

2026-06-20 | architecture · security | #keycloak #iam #realm #authentication-flow #spi #user-federation #openid-connect #saml

Keycloak 是 CNCF Incubating 项目中最成熟的 IAM 平台，也是自建身份系统的首选开源方案。但它不是'下个 JAR 跑起来就行'的简单软件——Realm 的隔离模型、Authentication Flow 的执行引擎、Client Scope 和 Protocol Mapper 的职责分离、自定义 SPI 扩展点——理解这些内部架构才能做好生产部署。本文从 Keycloak 的核心概念模型出发，拆解其内部执行路径和扩展机制。