2.6. 建议

如果您需要手动验证红帽构建的 Keycloak 发布的访问令牌，您可以调用 Introspection Endpoint。这种方法的缺点是您必须对红帽构建的 Keycloak 服务器进行网络调用。如果您同时存在太多验证请求，这可能会较慢，并可能过载服务器。红帽构建的 Keycloak 发布访问令牌是 JSON Web 令牌(JWT) 数字签名，并使用 JSON Web 签名(JWS) 进行编码。由于它们以这种方式编码，因此您可以使用发布域的公钥在本地验证访问令牌。您可以在验证代码中硬编码域的公钥，也可以使用嵌入在 JWS 中的密钥 ID (KID) 的证书端点 查找并缓存公钥。根据您采用什么语言，有许多第三方库存在，它们可帮助您进行 JWS 验证。

在使用基于重定向的流时，请务必为客户端使用有效的重定向 uris。重定向 uris 应尽量具体。这特别适用于客户端（公共客户端）应用程序。无法这样做可能会导致：

在生产中，Web 应用始终对所有重定向 URI 使用 https。不允许重定向到 http。

还有一些特殊的重定向 URI：