Что такое Keycloak?

Слушай, вот объясню тебе про Keycloak, как есть, без этих заумных буклетов. Представь, что у тебя куча приложений — один микросервис считает бабки, другой шлёт уведомления, третий вообще бог знает что делает. И в каждом из них надо заводить свой логин-пароль, свою таблицу пользователей, свои роли... Это же пиздец, а не жизнь! Ты будешь как дурак везде один и тот же код копировать, а потом ещё и безопасность поддерживать.

Так вот, Keycloak — это такой здоровенный, блядь, вышибала у входа в твой цифровой клуб. Ты к нему один раз подходишь, показываешь пропуск (логинишься), и он тебе говорит: «Ладно, проходи, мужик». И ты потом по всему клубу (по всем твоим приложениям) ходишь без проблем, тебя везде узнают. Это и есть SSO — Single Sign-On, или, по-нашему, «зашёл один раз — и хуй тебя выгонишь».

На чём он работает, этот вышибала?

• На OAuth 2.0 и OpenID Connect (OIDC) — это как его родной язык, самый модный и безопасный. Именно так сейчас все крутые ребята делают.
• На SAML — это уже для старых, консервативных корпоративных систем, которые любят XML до одури.
• Умеет тянуть пользователей из LDAP/Active Directory — то есть если у тебя в компании уже есть учётки, можно не заводить всё заново, а просто подключиться.

Что он умеет делать, кроме как стоять у двери?

• Админка. Там есть целая панель, где ты можешь создавать «царства» (realms — типа изолированные миры для разных проектов), заводить в них пользователей, накидывать им роли и права. Всё через веб-интерфейс, без шаманства с БД.
• Готовые библиотеки (адаптеры). Не надо изобретать велосипед. Хочешь подключить Spring Boot приложение? Вот тебе библиотека. Node.js? Пожалуйста. ASP.NET Core? Да хули там, вот тебе пример кода, как раз как в твоём вопросе:

services.AddAuthentication(options =>
{
    options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddCookie()
.AddOpenIdConnect(options =>
{
    options.Authority = "https://auth.your-domain.com/realms/your-realm"; // Адрес нашего вышибалы
    options.ClientId = "your-client-id"; // Пропуск конкретно для этого приложения
    options.ClientSecret = "your-client-secret"; // Секретное слово
    options.ResponseType = "code"; // Самый правильный и безопасный способ
    options.SaveTokens = true; // Сохраняем полученные жетоны, чтобы не бегать каждый раз
    options.Scope.Add("profile"); // Просим ещё немного инфы о пользователе
    options.Scope.Add("email");
});

• Можно кастомизировать. Надоел стандартный вид формы входа? Перекрась под цвет своего сайта. Нужна какая-то своя, ебанутая логика при регистрации? Можно написать расширение.

Почему это, блядь, круто?

1. Не изобретаешь велосипед. Вся эта хуйня с хешированием паролей, обновлением токенов, flows OAuth — уже сделана за тебя, и сделана правильно.
2. Безопасность. Ты доверяешь эту работу специализированному инструменту, который заточен именно под безопасность, а не своему костылю на коленке.
3. Центральное управление. Заблокировал пользователя в Keycloak — и он сразу везде вылетел. Не надо бегать по десяти базам данных.

А где подвох?

1. Ещё одна штука, которую надо поддерживать. Это отдельный сервер, его надо ставить, настраивать, мониторить, обновлять. Если он ляжет — аутентификация во всех приложениях встанет колом. Надо думать про отказоустойчивость (кластеризацию).
2. Сложность. Поначалу его админка может показаться ёбнутым лабиринтом. Realms, clients, scopes, mappers, policies... Голова кругом идёт, пока не вникнешь. Но оно того стоит.

Короче, резюмирую: Если у тебя больше одного приложения и тебе надоело плодить одну и ту же хуйню — бери Keycloak. Это как поставить профессиональную систему видеонаблюдения вместо того, чтобы клеить на двери самодельные сигнализации из банок. Да, с ней надо повозиться, зато потом живёшь спокойно.