13.7. 客户端策略

条件决定策略的采用哪个客户端以及何时采用。当在客户端请求过程中检查一些其他条件(OIDC 授权请求、Token 端点请求等)时，会在客户端创建/更新时检查一些条件。条件检查是否满足指定条件。例如，一些条件会检查客户端的访问类型是否为 confidential。

条件不能单独使用。它可用于之后描述 的策略。

条件可以的配置与其他可配置提供程序相同。可以配置的内容取决于每个条件的性质。

提供了以下条件：

例如，在创建客户端时，可以将条件配置为在 OIDC Dynamic Client Registration 创建时评估为 true，而无需初始访问令牌（非动态客户端注册）。因此，这个条件可用于确保通过 OIDC Dynamic Client Registration 注册的所有客户端都兼容 FAPI 或 OAuth 2.1。

executor 指定在采用策略的客户端上执行什么操作。executor 执行一个或多个指定的操作。例如，一些 executor 会检查授权请求中参数 redirect_uri 的值是否与 Authorization Endpoint 上预注册重定向 URI 完全匹配，如果不拒绝此请求。

执行程序本身不能单独使用。它可用于之后描述 的配置集。

executor 可以像其他可配置的提供程序一样配置。可以配置的内容取决于每个 executor 的性质。

执行器负责各种事件。executor 实现可以忽略某些类型的事件（例如，检查 OIDC 请求 对象的 executor 的行为仅限于 OIDC 授权请求）。事件是：

在每个事件中，executor 可以在多个阶段工作。例如，在创建/更新客户端时，executor 可以通过自动配置特定的客户端设置来修改客户端配置。之后，executor 在验证阶段验证此配置。

此 executor 的几个目的之一是实现客户端一致性配置集的安全要求，如 FAPI 和 OAuth 2.1。要做到这一点，需要以下 executor:

另一个可用的 executor 是 auth-flow-enforce，可用于在身份验证请求期间强制执行身份验证流。例如，它可用于根据特定条件（如特定范围或 ACR 值）选择流。如需了解更多详细信息，请参阅相关文档。

配置集由多个 executors 组成，它可以实现 FAPI 和 OAuth 2.1 等安全配置集。配置集可以通过 Admin REST API (Admin Console)及其 executor 配置。红帽构建的 Keycloak 有三个 全局配置集，它们默认与 FAPI 1 Baseline, FAPI 1 Baseline, FAPI CIBA, FAPI CIBA, FAPI 2 和 OAuth 2.1 规范兼容预先配置的 executor。FAPI 和 OAuth 2.1 中的 安全应用程序部分提供了更多详细信息。

策略由多个条件和配置集组成。该策略可适用于满足此策略的所有条件的客户端。该策略指的是多个配置集，以及这些配置集的所有 executors 对这个策略要应用到的客户端执行其任务。