完全可以实现你描述的场景！Keycloak的身份代理模块原生支持令牌交换（Token Exchange，符合RFC 8693规范），能直接复用用户已有的IdP1令牌，跳过重复认证流程，快速签发Keycloak自有JWT给你的应用。

下面是具体的实现步骤和注意事项：

1. 开启Keycloak中IdP1的令牌交换支持 #

首先需要在Keycloak后台配置IdP1允许令牌交换：

• 登录Keycloak管理控制台，进入你的目标Realm，找到已配置的IdP1身份提供商
• 切换到「Advanced」或「Token Exchange」标签页（不同Keycloak版本位置略有差异）
• 勾选「Allow Token Exchange」选项，保存配置
• 确认IdP1本身支持令牌交换规范（既然CRM已经基于IdP1实现了认证，大概率是支持的）

2. 应用侧传递IdP1令牌并发起交换请求 #

用户从CRM跳转至你的应用时，需要先获取用户当前持有的IdP1令牌（access token或id token），然后调用Keycloak的令牌交换端点完成转换：

令牌传递的安全方式 #

• 推荐通过加密POST请求体或HttpOnly加密Cookie传递令牌，避免在URL参数中明文暴露（防止XSS或日志泄露风险）
• CRM侧需要配合将用户的IdP1令牌传递给你的应用（可以通过跳转时的隐式参数、后端接口调用等方式实现）

调用Keycloak令牌交换端点示例 #

向Keycloak的/realms/{你的Realm名}/protocol/openid-connect/token端点发起POST请求，参数如下：

POST /realms/your-realm/protocol/openid-connect/token
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:token-exchange
&client_id=你的应用客户端ID
&client_secret=你的应用客户端密钥（如果是保密客户端）
&subject_token=用户持有的IdP1令牌
&subject_token_type=urn:ietf:params:oauth:token-type:access_token  # 或id_token，根据实际令牌类型选择
&requested_token_type=urn:ietf:params:oauth:token-type:id_token  # 可选，指定要Keycloak返回的令牌类型

3. Keycloak的自动处理流程 #

当Keycloak收到令牌交换请求后，会自动完成以下操作：

• 验证IdP1令牌的有效性：包括签名合法性、过期时间、受众（aud）是否允许Keycloak进行交换等
• 提取IdP1令牌中的所有声明，结合你在Keycloak中配置的声明映射规则（比如将IdP1的email映射到Keycloak用户的email属性）
• 生成并签发Keycloak自有access token、id token，返回给你的应用
• 应用拿到这些令牌后，就可以像正常认证流程一样使用它们完成授权和用户信息获取

4. 关键注意事项 #

• 令牌受众校验：确保IdP1颁发的令牌的aud字段包含Keycloak的客户端ID，或者IdP1允许Keycloak作为合法的令牌交换方，否则IdP1会拒绝Keycloak的验证请求
• 安全传输：全程使用HTTPS，避免令牌在传输过程中被窃取
• 客户端类型适配：如果你的应用是SPA（单页应用），不要使用客户端密钥，改用公开客户端的方式发起请求
• 声明映射配置：提前在Keycloak的IdP1配置中设置好声明映射，确保IdP1的用户信息能正确同步到Keycloak的用户属性中，保证生成的自有JWT包含你需要的所有声明

内容的提问来源于stack exchange，提问作者mmelsen