Изменения

Дополнение. Есть такой Identity-сервер, как Keycloak. Лучше стараться его НЕ использовать, так как он достаточно кривой, сложный в отладке и плохо документированный. Пример — мы, работая с ним, прямо сейчас обнаружили баг: после протухания ОНЛАЙН-сессии юзера по ОФФЛАЙН токену keycloak перестаёт отдавать userinfo. А как токен-то валидировать? И главное не понятно, это баг keycloak или мы что-то не так делаем — документация по этому поводу ничего не объясняет (да и в целом довольно скудна). Но да, в своём коде оно в userinfo пытается найти СЕССИЮ пользователя (онлайн-сессию). Вообще, там есть token introspection endpoint, который можно просто использовать для валидации token’а. Но хочется-то информацию о пользователе…