Spannend zu lesen, danke für den Artikel. Ich befinde mich mittlerweile immer öfter auf der anderen Seite solcher IDPs wie Keycloak oder Azure und schreibe Applikationen, die diese anbinden zwecks eines SSO-Logins. Eine Frage, die ich aber bisher nicht abschliessend beantworten kann, wäre:
Was ist der gängige Weg, den id_token/access_token/refresh_token an Drittsysteme zu geben. Ich speichere diese üblicherweise immer in Cookies auf der Hauptdomain, das setzt jedoch voraus, dass die Drittsysteme auf Subdomains laufen müssen, damit diese Zugriff auf die entsprechenden Cookies haben. Eventuell hast du da eine bessere Idee?
RE: Keycloak - Eine Software, die den Zugriff regelt