Architektur

Drei Deployment-Modi für jede Sicherheitsanforderung — von der Single-Binary-Evaluierung bis zur vollen 4-Prozess-Isolation.

Deployment-Modi

Mini

Single Binary

Alle 4 Pipeline-Stufen laufen in einem Prozess mit In-Memory-DirectMessageTransport. Keine externen Abhängigkeiten.

  • 1 Prozess
  • In-Memory-Transport
  • Kein NATS/Valkey benötigt
  • Ideal für Evaluierung und Edge-Deployments
Free Tier

Small

2 Prozesse

Frontend + Backend kommunizieren über NATS oder Valkey. Request- und Response-Validatoren laufen im jeweiligen Host-Prozess.

  • 2 Prozesse, 2 isolierte Netzwerke
  • NATS- oder Valkey-Transport
  • Standard-Netzwerkisolation
  • Ideal für kleine Teams
Starter Tier

Full

4 Prozesse

Maximale Isolation: Frontend, Request Validator, Backend und Response Validator laufen jeweils in separaten Netzwerken.

  • 4 Prozesse, 4 isolierte Netzwerke
  • 4 dedizierte NATS/Valkey-Instanzen
  • Starke Netzwerkisolation
  • Enterprise-Grade Sicherheit
Business Tier

Identisches Verhalten in allen Modi

Validierungslogik, Policy-Entscheidungen und Fehlerantworten sind Bit-für-Bit identisch, unabhängig vom Deployment-Modus. Der Transport-Layer ist der einzige Unterschied.

Request-Validierungs-Pipeline (16 Schritte)

  1. HTTP-Level-Sicherheitsprüfungen (SQLi, XSS, Path Traversal)
  2. Realm-Validierung (Whitelist-Durchsetzung)
  3. Client-ID-Validierung
  4. Blockierte Pfade
  5. CIBA-Grant-Type-Ablehnung
  6. Flow-Profil-Durchsetzung
  7. Flow-spezifische Validierung (Authorization/Token/Refresh)
  8. Token-in-URL-Erkennung
  9. Grant-Type-Validierung (pro Client)
  10. Scope-Validierung (clientspezifische Whitelist)
  11. Redirect-URI-Validierung (Whitelist + SSRF)
  12. PKCE-Enforcement (S256)
  13. State/Nonce-Parameter-Prüfung
  14. Admin-API-Endpoint-Whitelist
  15. SAML-Validierung (XXE, Signature Wrapping)
  16. HTTP-Basis-Sicherheit (Smuggling, Injection)

Response-Validierungs-Pipeline (9 Schritte)

  1. Token-in-URL-Fragment-Erkennung
  2. Token-Strukturvalidierung (JWT-Format)
  3. Refresh-Token-in-Body-Prüfung
  4. JWT-Claim-Allowlist-Durchsetzung
  5. Discovery-Dokument-Validierung
  6. JWKS-Response-Inspektion (RSA-Schlüsselgröße, Algorithmen)
  7. Claim-Wert-Inspektion (Größenlimits)
  8. Realm/Role-Claims-Inspektion
  9. JWE/Opaque-Token-Handling

Keycloak-Operationserkennung

Das Gateway klassifiziert jeden Request nach HTTP-Methode, Pfad und Query-Parametern.

OIDC-Protokoll

  • Token-Request / Refresh
  • Authorization-Request
  • UserInfo, Introspection, Revocation
  • Device Authorization
  • End Session, JWKS

SAML-Protokoll

  • AuthnRequest / Response
  • Logout-Request
  • Metadata-Endpoint
  • Artifact Resolve

Admin-API

  • Realm-CRUD + Export
  • User-Management (CRUD, Rollen, Sessions)
  • Client-Management
  • Identity-Provider-Konfiguration
  • Auth-Flows, Rollen, Gruppen, Events