Как аутентифицировать конфиденциального потребителя API клиента Keycloak без пароля потребителя и без раскрытия секрета клиента?
У нас есть приложение, определенное как конфиденциальный клиент в Keycloak (это веб-приложение, требующее аутентификации при входе в систему, а также аутентификацию потребителей API). Как наш клиент может аутентифицировать потребителя API, не делясь с ним нашим секретом клиента, а он не делится своим паролем с нашим клиентом?
Конфигурация "конфиденциального клиента keycloak" для MyApp1 - хороший выбор? Я не могу предположить, что MyApp2 должен иметь секрет MyApp1, чтобы иметь возможность подключаться к MyUser в MyApp1, или что он должен отправить пароль MyUser в MyApp1. Или MyApp1 должен стать публичным клиентом keycloak, чтобы MyApp2 мог без секрета подключать MyUser.
Разве нет другого пути, оставаясь конфиденциальным, но не секретным, ни паролем?
Заранее благодарим за помощь.