13.6. 客户端范围

创建客户端范围时，请选择 协议。同一范围内链接的客户端必须具有相同的协议。

每个域在菜单中都有一组预定义的内置客户端范围。

客户端范围 配置文件、电子邮件、地址和 电话 在 OpenID Connect 规格中定义。这些范围没有定义任何角色范围映射，但它们定义了协议映射程序。这些映射程序与 OpenID Connect 规格中定义的声明对应。

例如，当您打开 电话 客户端范围并打开 Mappers 选项卡时，您将看到与范围 电话 规范中定义的声明对应的协议映射器。

当 手机 客户端范围链接到客户端时，客户端会自动继承 电话 客户端范围中定义的所有协议映射器。为此客户端发布的访问令牌包含用户的电话号码信息，假设用户具有定义的电话号码。

内置客户端范围包含规格中定义的协议映射程序。您可以自由编辑客户端范围并创建、更新或删除任何协议映射或角色范围映射。

客户端范围包含与同意屏幕相关的选项。如果在客户端上启用了 Consent Required，则这些选项很有用。

客户端 范围交换机上有 Include 在令牌范围中。如果为 on，此客户端范围的名称将添加到访问令牌属性范围中，并添加到 Token Response and Token Introspection Endpoint response claim 范围中。如果关闭，则此客户端范围将从令牌和 Token Introspection Endpoint 响应中省略。如前文所述，一些内置客户端范围已禁用此交换机，这意味着即使为特定请求应用它们，也不会包含在 范围 声明中。

客户端范围和客户端之间的链接在客户端的 Client Scopes 选项卡中配置。以下是如何查找客户端应用程序 myclient ：

客户端范围和客户端之间有两种方法链接。

scope=openid phone

scope=openid phone

Mappers 选项卡包含协议映射程序，scope 选项卡包含为此客户端声明的角色范围映射。它们不包含从客户端范围继承的映射程序和范围映射。可以看到有效的协议映射器（这是客户端本身定义的协议映射，也可以继承从链接的客户端范围中）以及为客户端生成令牌时使用的有效角色范围映射。

这也向您显示 scope 参数的值。这个参数需要从应用程序发送到 Keycloak OpenID Connect 授权端点的红帽构建。

您还可以模拟向此客户端发布的访问令牌、ID 令牌或 UserInfo 响应如何查找特定的选定用户和 audience 参数的值。请注意，audience 参数目前仅支持令牌交换授权。当模拟任何其他授权时，建议将其留空。

所有示例都是为特定用户生成，并为特定客户端发布，且值为 scope 参数。示例包括所有使用的声明和角色映射。

当用户被允许使用令牌时，客户端范围才会应用。

当客户端范围没有定义任何角色范围映射时，每个用户都被允许使用此客户端范围。但是，当客户端范围定义了角色范围映射时，该用户必须是至少一个角色的成员。用户角色和客户端范围的角色之间必须有交集。复合角色是评估此交集的因素。

如果用户不允许使用客户端范围，则在生成令牌时不会使用协议映射程序或角色范围映射。客户端范围不会出现在令牌中的 scope 值中。

使用 Realm Default Client Scopes 定义自动链接到新创建的客户端的一组客户端范围。

要查看 realm 默认客户端范围，请点管理控制台左侧的 Client Scopes 选项卡。在 Assigned type 列中，您可以指定特定客户端范围是否应作为 Default Client Scope 或 Optional Client Scope 添加到新创建的客户端。有关 默认 和可选 客户端范围的详情，请参阅本节。

创建客户端时，如果需要，您可以取消链接默认客户端范围。这与删除 默认角色类似。

术语 范围 在 Red Hat build of Keycloak 和 OAuth/OIDC 规格中有多个含义。以下是红帽构建的 Keycloak 中使用的不同 范围 ：