Camunda是一个流行的工作流平台，其自带了基本的用户管理功能。Keycloak是业界主流的一个提供OAUTH等协议标准的一个用户验证与授权的平台。这里介绍如何把Camunda与Keycloak相集成，以实现通过Keycloak来统一管理用户的鉴权与授权，用户通过从Keycloak获取Token来调用Camunda的API。

在上一篇博客中，我用JAVA编写了一个服务器和客户端程序，实现SSL的双向认证和连接。下面我们可以对整个连接的过程进行抓包分析，更好的理解整个连接的过程，也方便做故障排查。首先安装wireshark，这是一个很方便的抓包分析工具。启动wireshark, 选择要抓包的网络接口。因为我是在本地运行服务器和客户端程序，因此这里选择loopback接口。之后，我们需要配置一下SSL的端口，因为服务器是设置了9999这个端口来进行连接，这不是默认的SSL端口（443），因此需要在wireshark中配置一下，不

SSL的双向认证的流程如下图：从以上流程可见，要完成双向认证，服务器端和客户端都需要验证对方的证书，然后再进行加密的协商。这里基于JAVA来实现一个服务器端和客户端的程序，可以实现双向认证。首先需要准备服务器和客户端的相关证书：1. 创建自签名的根密钥openssl genrsa -out rootkey.pem 20482. 生成根证书openssl req -x509 -new -key rootkey.pem -out root.crt -subj="/C=CN/ST=GD

在Web应用的鉴权和授权当中，经常都会碰到JWT， JWE形式的Token。JWT可以很方便的在jwt.io之类的网站中解码，查看token的信息。但是对于JWE，因为Token保存的信息是加密后的，不能直接解码，需要进行解密。以下是如何用Python进行解密的方法。首先我们需要安装一个库，pip install jwcryptoJWE是由5部分组成，每个部分之间以.号分隔。第一部分是没有加密的，只是进行了BASE64的编码，我们解码之后可以看到这个JWE的加密方式。例如我拿到的JWE的第一部分是e

总结一下如何使用X.509证书来保护我们的设备的数据传输。证书的签发以下是证书签发的流程，为了更好的演示，我们需要分别创建两个根证书，并且用每个根证书来颁发一个客户端证书。这两个根证书分别为root_1.crt以及root_2.crt，对应的两个客户端证书分别为client_1.crt以及client_2.crtopenssl genrsa -out rootkey.pem 2048 生成根证书的密匙 openssl req -x509 -new -key rootkey.pem -out