<div dir="ltr">Not sure what you mean about code 2 token could have a callback uri?</div><div class="gmail_extra"><br><div class="gmail_quote">On 2 December 2015 at 15:34, Bill Burke <span dir="ltr">&lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">IMO, we need to highlight and document that when using a load balancer<br>
in a cluster, sticky sessions should be enabled.  We might even want to<br>
consider adding support for sticky sessions for the code2token flow.<br>
The obvious reason is performance.  Login can span multiple HTTP<br>
requests.  If you have N nodes in the cluster with no clustering you<br>
have the possibility of the same user being retrieved from the database<br>
N times.  One time for each authentication request (username/password,<br>
OTP page, required actions) and finally for the code 2 token request.<br>
Until I look into fixing it the auth SPI does a few extra redirects<br>
right now too.<br>
<br>
Code 2 token could simply have a callback URI so that the code 2 token<br>
request hits the same machine the code was created on.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Bill Burke<br>
JBoss, a division of Red Hat<br>
<a href="http://bill.burkecentral.com" rel="noreferrer" target="_blank">http://bill.burkecentral.com</a><br>
_______________________________________________<br>
keycloak-dev mailing list<br>
<a href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a><br>
</font></span></blockquote></div><br></div>