使用密钥斗篷获取id_令牌

我们有一个角度水疗中心，是由OIDC授权使用隐式流。我们使用Keycloak作为我们的授权服务器。访问令牌的寿命很短，并且通过隐藏的iframe定期刷新。 在了解到授权代码流PKCE是授权SPA的新推荐方式后，我们决定切换流。一切正常，但每次我们调用令牌endpoint时，KeyCloak确实会给我们一个刷新令牌（以及Access和ID-Token）。由于没有安全的方法来存储刷新令牌，我们想继续使

我有一个angular应用程序作为前端，spring boot作为后端技术，作为授权服务器，我使用的是KeyClope 12.0.4。 我不想在angular和Spring Boot中使用KeyClope适配器，我想使用普通的oauth2 oauth/token，这样我就可以在不需要太多更改代码的情况下将我的授权服务器从KeyClope更改为okta。 我可以使用postman直接点击KeyClo

我试图使用Keycloak的openId-connectendpoint来获取关于用户角色的信息。我使用/auth/realms/moje/protocol/OpenID-connect/userinfoendpoint来获取关于已验证用户的信息。我可以获得姓名、用户名、电子邮件等信息。但是我不能强迫Keyclak给我关于用户角色的信息。 我已经阅读了openID文档，我没有找到任何关于必须获取角

使用KeyCloak时，访问令牌与用户信息令牌有何不同？ 从OAuth2/OpenIDConnect中，我了解到访问令牌提供了用户已经通过身份验证的信息，您需要使用用户信息令牌来获取关于用户及其配置文件/角色等的更多信息。 当我看到访问令牌时https://jwt.io/而不是用户信息令牌。我能够获得与用户配置文件相同的信息 为什么会这样，使用Keycloak时访问令牌与用户信息令牌有何不同？

部署在AWS上，我不想隧道到盒子并打开浏览器禁用它。 似乎存在一个配置：，可以放置在文件，但我不确定在哪个对象下。我在“王国”下试过，但一点运气都没有。 我不想在适配器级别禁用它，它需要全局禁用，那么在哪里，或者如何全局禁用ssh/https？ 另外，我知道这在生产中是不推荐的。）

不知何故，我迷失了Spring Security和Keycloak。 在一个应用程序中，我成功地从KeyClope实例接收了一个访问令牌。然后，我使用这个令牌请求我的Spring Security服务器（它使用相同的KeyClope实例）。 但我得到的只是403个错误。 以下是代码摘录（用kotlin编写）： 安全配置： 在我的控制器中： 在我对服务器的调用中，我可以验证授权头的设置如下：auth