2.7. 建议

如果您需要手动验证红帽构建的 Keycloak 发布的访问令牌，您可以调用 Introspection Endpoint。这种方法的不足之处在于，您必须进行一个网络调用红帽 Keycloak 服务器的构建。如果您同时出现太多验证请求，这可能会很慢，并可能会过载。红帽构建的 Keycloak 发布访问令牌是 JSON Web 令牌(JWT)，使用 JSON Web 签名(JWS) 进行数字签名和编码。由于以这种方式编码了它们，因此您可以使用发布域的公钥在本地验证访问令牌。您可以在验证代码中硬编码域的公钥，或使用嵌入在 JWS 中的密钥 ID (KID) 的证书端点 来缓存公钥。根据您编码的语言，有很多第三方库，它们可帮助您进行 JWS 验证。

在使用基于重定向的流时，请确保为您的客户端使用有效的重定向 uri。重定向 uri 应尽可能具体。这特别适用于客户端（公共客户端）应用。无法这样做可能会导致：

在生产环境中，所有重定向 URI 始终使用 https。不允许重定向到 http。

还有几个特殊的重定向 URI：