2.8. 建议

如果您需要手动验证红帽构建的 Keycloak 发布的访问令牌，您可以调用 Introspection Endpoint。这种方法的不足之处在于，您必须进行一个网络调用红帽 Keycloak 服务器的构建。如果您同时存在太多验证请求，则这可能会减慢服务器的速度，并可能会过载。红帽构建的 Keycloak 发布访问令牌是 JSON Web 令牌(JWT)，使用 JSON Web 签名(JWS) 进行数字签名和编码。由于以这种方式编码了它们，因此您可以使用发布域的公钥在本地验证访问令牌。您可以在验证代码中硬编码域的公钥，或使用嵌入在 JWS 中的密钥 ID (KID) 的证书端点 查找并缓存公钥。根据您编码的语言，有很多第三方库，它们可帮助您进行 JWS 验证。

在使用基于重定向的流时，请确保为您的客户端使用有效的重定向 uri。redirect uris 应尽量具体。这特别适用于客户端（公共客户端）应用程序。无法这样做可能会导致：

在用于 Web 应用的生产环境中，始终将 https 用于所有重定向 URI。不允许重定向到 http。

还有几个特殊的重定向 URI：