15.10. 被破坏的访问和刷新令牌

红帽构建的 Keycloak 包括一些操作，以防止恶意参与者窃取访问令牌并刷新令牌。关键操作是在红帽构建的 Keycloak 及其客户端和应用程序之间强制实施 SSL/HTTPS 通信。红帽构建的 Keycloak 默认不启用 SSL。

缓解来自泄漏访问令牌的破坏的另一个操作是缩短令牌的生命周期。您可以在 超时页面中 指定令牌生命周期。访问令牌的短生命会强制客户端和应用程序在短时间内刷新其访问令牌。如果管理员检测到泄漏，管理员可以注销所有用户会话，使这些刷新令牌无效或设置撤销策略。

确保刷新令牌始终保持对客户端私有，永远不会传输。

您可以通过将这些令牌作为拥有者密钥令牌发布这些令牌来缓解泄漏访问令牌中的损坏，并刷新令牌。如需更多信息，请参阅 OAuth 2.0 通用 TLS 客户端证书颁发机构 访问令牌。

如果访问令牌或刷新令牌被破坏，请访问管理控制台，并将之前撤销策略推送到所有应用。在策略之前推送一个 not-before 策略可确保在该时间无效前发出的任何令牌。推送新的 not-before 策略可确保应用程序必须从红帽构建的 Keycloak 下载新的公钥，并从受入侵的域签名密钥缓解损坏。如需更多信息，请参阅 密钥章节。

如果特定应用程序、客户端或用户被破坏，您可以禁用它们。