问使用SSO (例如Keycloak)，如何在自己的数据库中处理/同步用户？

EN

我已经使用Keycloak多年了，在我的经验中，有几种场景涉及在Keycloak和您的应用程序的数据库之间同步用户数据：

您的应用程序是用户数据的所有者.

Keycloak仅用于身份验证/授权目的。在这个场景中，您的应用程序在需要时使用admin创建/更新keycloak用户。

密钥披风是用户数据的所有者，您不需要比数据库中的userid更多的信息。

在这个场景中，与用户有关的一切都可以由Keycloak (注册、用户帐户参数，甚至使用授权服务共享资源)来管理。在需要时，用户将被数据库中的userid引用。

注意:您可以使用用户属性轻松地向密钥披风中的用户添加自定义数据，但一个有趣的可能性是使用以下内容直接扩展用户模型：https://www.keycloak.org/docs/latest/server_development/index.html#_extensions_jpa

密钥披风是用户数据的所有者，您需要的不仅仅是用户id (电子邮件、名字等)。

如果性能不是问题，您可以在需要时通过Admin检索用户信息。

如果性能有问题，您需要在应用程序的数据库中复制Keycloak的用户数据，并且希望在每次用户更改时更新该副本。为此，您可以在keycloak (使用SPIs：https://www.keycloak.org/docs/latest/server_development/index.html#_events)中实现回调，在创建/更新用户时通知应用程序。

注意:您还可以使用更改数据捕获工具(如Debezium：https://debezium.io/)来同步Keycloak的数据库和您的数据库。

每个场景都有优缺点，您必须选择一个更适合您的需求:)