第 2 章 使用 OpenID Connect 来保护应用程序和服务

/realms/{realm-name}/protocol/openid-connect/auth

授权端点执行最终用户的身份验证。此身份验证通过将用户代理重定向到此端点来实现。

如需了解更多详细信息，请参阅 OpenID Connect 规格中的 Authorization Endpoint 部分。

/realms/{realm-name}/protocol/openid-connect/token

令牌端点用于获取令牌。令牌可以通过交换授权代码或直接提供凭据来获取，具体取决于所使用的流。令牌端点也用于在令牌过期时获取新的访问令牌。

如需了解更多详细信息，请参阅 OpenID Connect 规格中的 Token Endpoint 部分。

/realms/{realm-name}/protocol/openid-connect/userinfo

userinfo 端点返回有关经过身份验证的用户的标准声明；此端点受 bearer 令牌保护。

如需了解更多详细信息，请参阅 OpenID Connect 规格中的 Userinfo Endpoint 部分。

/realms/{realm-name}/protocol/openid-connect/logout

logout 端点会注销经过身份验证的用户。

用户代理可以重定向到端点，这会导致活跃的用户会话被注销。然后，用户代理会重定向到应用程序。

端点也可以直接由应用调用。要直接调用此端点，需要包含刷新令牌以及验证客户端所需的凭据。

/realms/{realm-name}/protocol/openid-connect/certs

证书端点返回域启用的公钥，编码为 JSON Web 密钥(JWK)。根据域设置，可以启用一个或多个密钥来验证令牌。如需更多信息，请参阅 服务器管理指南 和 JSON Web 密钥规格。

/realms/{realm-name}/protocol/openid-connect/token/introspect

内省端点用于检索令牌的活动状态。换句话说，您可以使用它来验证访问或刷新令牌。此端点只能由机密客户端调用。

有关如何在此端点上调用的更多详细信息，请参阅 OAuth 2.0 令牌内省规格。

/realms/{realm-name}/clients-registrations/openid-connect

动态客户端注册端点用于动态注册客户端。

如需了解更多详细信息，请参阅 客户端注册 一章 和 OpenID Connect Dynamic Client Registration 规格。

/realms/{realm-name}/protocol/openid-connect/revoke

令牌撤销端点用于撤销令牌。此端点支持刷新令牌和访问令牌。当撤销刷新令牌时，相应客户端的用户同意也会被撤销。

有关如何在此端点上调用的更多详细信息，请参阅 OAuth 2.0 令牌撤销规格。

/realms/{realm-name}/protocol/openid-connect/auth/device

设备授权端点用于获取设备代码和用户代码。它可以被机密或公共客户端调用。

有关如何在此端点上调用的更多详细信息，请参阅 OAuth 2.0 设备授权规格。

/realms/{realm-name}/protocol/openid-connect/ext/ciba/auth

backchannel 身份验证端点用于获取 auth_req_id，用于标识客户端发出的身份验证请求。它只能由机密客户端调用。

有关如何在此端点上调用的更多详细信息，请参阅 OpenID Connect Client Initiated Backchannel Authentication Flow 规格。

另请参阅 Red Hat build of Keycloak 文档的其他位置，如 Client Initiated Backchannel Authentication Grant section of this guide and Client Initiated Backchannel Authentication Grant section of Server Administration Guide。