本系列文之後也会置於个人网站

Client与一些安全相关的设定

在OAuth架构下的Client(客户端)可以想象成是一个一个的应用程序。到目前爲止也已经建立过几个Client：

这些Client有着自己的规则、资源、授权方式等。

可以复写一些Realm的设定，包含产生存取权杖的方式。像是认爲RS256签名不够，需要使用到RS512:

或是每三分钟就要更新一次存取权杖

Realm像是管理的单位，而Client就是应用的单位。尽管实际上可能并没有应用，而只是建立了一些规则、特殊秘密(如: Client Credentials Flow)。只用应用实际符合这些规则，才实际绑定了Keycloak的Client，也才实际有了应用。

而应用除了是一般容易接触到的Web App，还包含管理资源的资源服务器。Web App和资源服务器可以是独立但相互作用的两个Client。

Web App的身份验证阶段可以交给Keycloak，也就是Keycloak充当了Web App的执行器。同样对於资源服务器而言，Keycloak可以作为授权处理的执行器，并储存着相关的规则与政策。

单点登入 Single Sign On(SSO)

在同一个Realm下，使用同一个浏览器，不同的Client会共用同一个登入会话(SSO Session)。你可能已经注意到了，当我们在「快速开始」的应用登入後，在「OAuth_Tools」的应用中，就直接知道使用於登入的帐号bob，而无须在重新输入一次密码。仅管这两个Web App的Domain完全不一样。

security-admin-console

另外，特别的是 Administration Console 实际上也是一个在Master Realm下的Client。甚至Master Realm本身和建立的quick-start Realm也是