12.7. 客户端策略

条件决定采用策略的客户端以及何时采用的客户端。当在客户端请求期间检查某些其他条件(OIDC 授权请求、令牌端点请求等)时，会在客户端创建/更新时检查一些条件。条件检查是否满足一个指定的条件。例如，一些条件检查客户端访问类型是否是机密的。

条件不能自行使用。它可以在稍后描述 的策略 中使用。

一个条件可以与其他可配置提供程序相同。可以配置什么取决于每个情况的性质。

提供以下条件：

例如，在创建客户端时，当 OIDC Dynamic Client Registration 没有初始访问令牌（非动态客户端注册）创建时，可将条件配置为评估 true。因此，此条件可用于确保所有通过 OIDC Dynamic Client Registration 注册的客户端都兼容 FAPI。

executor 指定在采用策略的客户端上执行什么操作。executor 执行一个或多个指定的操作。例如，一些 executor 检查授权请求中参数 redirect_uri 的值是否与授权端点上预注册的重定向 URI 完全匹配，并在授权端点上拒绝此请求。

executor 无法自行使用。它可以在稍后 描述的配置 集中使用。

executor 可以与其他可配置提供程序相同。配置的内容取决于每个执行器的性质。

executor 充当各种事件。executor 实现可以忽略特定类型的事件（例如，executor 用于在 OIDC 授权请求中检查 OIDC 请求 对象）。事件是：

在每个事件中，executor 都可以在多个阶段工作。例如，在创建/更新客户端时，executor 可以通过自动配置特定的客户端设置来修改客户端配置。之后，executor 会在验证阶段验证此配置。

此执行器的几个目的之一就是实现像 FAPI 这样的客户端符合配置文件的安全要求。要做到这一点，需要以下 executor：

配置文件由多个 executors 组成，它可以实现类似 FAPI 的安全配置文件。配置文件可通过 Admin REST API （管理员控制台）及其 executors 配置。有三个 全局配置集，它们默认在 Keycloak 的红帽构建中配置，它们与 FAPI Baseline, FAPI Advanced 和 FAPI CIBA 规格兼容。安全应用程序和服务 指南的 FAPI 部分中存在更多详细信息。

策略由多个条件和配置集组成。该策略可以采用满足此策略条件的客户端。策略引用了多个配置集，以及这些配置集的所有执行者都针对此策略所采用的客户端执行其任务。