[下面内容为AI生成]API/MCP服务WSO2网关WSO2开发者平台Keycloak IDP用户/客户端API/MCP服务WSO2网关WSO2开发者平台Keycloak IDP用户/客户端1. 用户登录流程4. 应用管理5. 应用令牌生成6. 客户端访问服务7. 认证检查和跳转8. Token交换流程10. 最终API访问用户登录(用户名/密码)返回auth_code携带auth_code访问开发者平台2. 用auth_code换取access_token返回Keycloak access_token3. 通过jwt-bearer换取WSO2用户token登录成功建立WSO2用户会话创建应用生成应用密钥对(consumer_key/secret)返回应用密钥对使用client_credentials请求app token验证应用密钥对返回app级别token(JWT/普通token)使用app token访问API/MCP服务转发请求(携带WSO2 token)需要认证重定向到Keycloak用户认证(如需要)认证完成重定向回服务9. 通过token exchange交换token返回Keycloak平台token10. 携带Keycloak token访问API资源返回API响应返回最终结果流程步骤说明阶段一用户登录和初始认证用户登录用户通过Keycloak进行认证获取auth_codeToken交换WSO2开发者平台使用auth_code从Keycloak换取access_token统一令牌WSO2通过jwt-bearer授权方式从Keycloak获取WSO2用户token阶段二应用创建和令牌生成应用创建用户在WSO2开发者平台创建应用生成consumer_key/consumer_secret应用令牌通过client_credentials授权类型生成app级别token可以是JWT或普通token阶段三API访问和令牌交换客户端访问客户端工具使用app token连接WSO2 API/MCP服务认证检查访问需要认证的API时系统检查并重定向到KeycloakToken交换WSO2网关通过Keycloak的token exchange功能将WSO2 token交换为Keycloak tokenAPI访问使用统一的Keycloak token访问最终的API资源关键技术点OAuth 2.0流程混合使用了authorization_code和client_credentials授权类型Token ExchangeWSO2与Keycloak之间的令牌交换机制统一认证以Keycloak为中心的统一身份管理应用级认证通过client_credentials实现应用级别的API访问用户级认证通过用户令牌实现需要用户上下文的操作