允许用户使用睡觉接口更新自己的配置文件 [英] Allowing a user to update their own profile using the REST API

问题描述

我一直在试验REST API，使用我登录的用户帐户的令牌，然后对我的用户记录发出PUT请求，以更新一些自定义属性。

为了完成这项工作，我必须在Keyloak中向我的用户帐户授予管理用户角色，在此之前，我收到了禁止回复。

我现在可以成功发出PUT请求，注销并重新登录后，我可以看到我在PUT请求中设置的更新属性。

但我现在已允许我的用户能够管理我领域中的所有用户，这是我不想允许的。

相反，我只希望能够更新我自己的帐户详细信息。

我知道用户可以查看他们自己的个人资料，并在Keyloak提供的屏幕上进行更改。但对于某些自定义属性，我希望能够从他们登录到的客户端应用程序执行此操作，因此使用REST API，但不授予他们允许他们更新其他用户详细信息的角色。

这可能吗？

推荐答案

根据User section密钥罩的Admin REST API，这是不可能的。

一种解决方案是让您的客户端应用程序将更新请求发送到后端。后端将验证更新请求是否合法(也就是JWT已验证，更新确实适用于请求更改的用户)。

另一种解决方案是以User Account Service的屏幕为主题，为您的自定义属性添加输入字段，正如文档所述：

可以扩展此屏幕以允许用户管理其他属性。有关详细信息，请参阅Server Developer Guide。

第二个选项似乎更安全。我希望这会有帮助。

这篇关于允许用户使用睡觉接口更新自己的配置文件的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！