<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">On 03/11/15 09:32, Thomas Raehalme

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAPyAMoY4LwFYj3LRM_zU99qXY6X8mOLJdP7AYZEH-O0PVEChJA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">On Tue, Nov 3, 2015 at 10:23 AM,

            Stian Thorgersen <span dir="ltr">&lt;<a

                moz-do-not-send="true" href="mailto:sthorger@redhat.com"

                target="_blank"><a class="moz-txt-link-abbreviated" href="mailto:sthorger@redhat.com">sthorger@redhat.com</a></a>&gt;</span>

            wrote:<br>

            <blockquote class="gmail_quote" style="margin:0 0 0

              .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <div dir="ltr">* Create service account for customers -

                they can then use this to obtain a token (offline or

                standard refresh) using REST endpoints on Keycloak</div>

            </blockquote>

            <div><br>

            </div>

            <div>Sorry to step in, but could you please explain the use

              case or the reasoning for offline tokens on service

              accounts? If I have understood it correctly you'll still

              need clientId and secret to generate the access token from

              the offline token. Why not just use them to login whenever

              necessary? Thanks!<br>

            </div>

          </div>

        </div>

      </div>

    </blockquote>

    We support offline tokens for service accounts because there is no

    reason (bad side effect) of not supporting it. Or at least I am not

    aware of any. Are you? Adding this support came "for free". <br>

    <br>

    One usecase when it can be useful is, for example if you have

    offline token and you don't know how was this offline token

    authenticated (if it was direct grant, service account or browser).

    You can send the refresh token request with this token regardless of

    the offline token type as the refreshToken endpoint is same for all

    cases.<br>

    <br>

    Marek<br>

    <blockquote

cite="mid:CAPyAMoY4LwFYj3LRM_zU99qXY6X8mOLJdP7AYZEH-O0PVEChJA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">

            <div><br>

            </div>

            <div>Best regards,<br>

            </div>

            <div>Thomas<br>

            </div>

            <div><br>

            </div>

          </div>

          <br>

        </div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-user mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a></pre>

    </blockquote>

    <br>

  </body>

</html>