Изменения

Дополнение. Есть такой Identity-сервер, как Keycloak. Лучше стараться его НЕ использовать, так как он достаточно кривой, сложный в отладке и плохо документированный. Пример — мы, работая с ним, прямо сейчас обнаружили баг: после протухания ОНЛАЙН-сессии юзера по ОФФЛАЙН токену keycloak перестаёт отдавать userinfo. И главное не понятно, это баг keycloak или мы что-то не так делаем — документация Документация по этому поводу ничего не объясняет (, да и в целом довольно скудна). Но да; по-видимому, в своём коде оно в userinfo пытается найти СЕССИЮ пользователя (онлайнэто всё-сессию). Вообщетаки баг keycloak, там есть т.к. token introspection endpointв этом случае по оффлайн-токену тоже отдаёт неуспех. Да и логически каждому активному токену должна соответствовать активная сессия — например, который чтобы можно просто использовать для валидации token’абыло из UI администрирования её принудительно завершить, отозвав token. Но хочется-то информацию о пользователе…

Пока что резюме — скорее всего, это баг keycloak, так как активному токену по логике вещей должна соответствовать активная сессия — например, чтобы можно было из UI администрирования её принудительно завершить, отозвав token. ИтакВ общем, если вам где-то требуется OAuth2, лучше постараться ограничиться более легковесными реализациями вроде плагинов к каким-либо системам/фреймворкам.