KeyCloak 刷新外部 IDP 令牌

@Hawk提出的解决方案涉及到一个不同的API - Token Exchange - 可用于在KeyCloak上检索（甚至伪造）令牌。在您可以交换的所有不同令牌中，您可以从配置的身份提供者中检索令牌，这是我们最终使用的方法。
长话短说，您正在使用的“检索外部IDP令牌”功能不会为您刷新令牌：如果您计划使用它，您将不得不检索刷新令牌并自己生成新的访问令牌，这很不幸，因为这将迫使您在应用程序中拥有客户端/秘密ID提供者的ID。
相反，Token Exchange API将为您刷新令牌。您可以通过发出此请求轻松检索IP访问令牌（示例使用python，您显然可以使用任何其他语言）：

    response = requests.post(
        f"{ID_PROVIDER_HOST}/auth/realms/{REALM}/protocol/openid-connect/token",
        data={
            "client_id": CLIENT_ID,
            "client_secret": CLIENT_SECRET,
            "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
            "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
            "requested_issuer": IDENTITY_PROVIDER_ALIAS,
            "subject_token": access_token,
        },
    )

你需要进行一些配置：首先，Token Exchange 在当前 KeyCloak 版本（17）中处于“技术预览”状态，并且默认情况下未启用；请参阅 KeyCloak 文档以了解如何启用它。
然后，您需要启用客户端以交换 IP 令牌：从您领域的管理面板：

• 从侧边栏中选择“身份提供者”；
• 选择要从中检索令牌的身份提供者；
• 选择“权限”选项卡；
• 启用权限，如果尚未启用；
• 单击“令牌交换”
• 在“应用策略”表中选择“创建类型为“客户端”的策略”
• 给策略命名，并选择您想要能够检索访问令牌的客户端。

Keycloak 保留上游 IdP 的访问令牌和刷新令牌。当您执行令牌交换时，如果访问令牌已过期但刷新令牌尚未过期，则会刷新令牌。请参见此处：https://github.com/keycloak/keycloak/blob/master/services/src/main/java/org/keycloak/broker/oidc/OIDCIdentityProvider.java#L186-L187 简单地说，您需要更频繁地调用令牌交换端点，以使其刷新外部刷新令牌的时间不超过有效期。根据您的实现方式，您可以通过多种方式利用它。例如，我将我的访问令牌 ttl 设置得比外部 IdP 的刷新令牌 ttl 短，并且我有一个机密客户端，在每次看到新的访问令牌时都会调用令牌交换端点，虽然不是最佳解决方案，但总比眼里插着一根棍子好。
我不知道为什么 Keycloak 开发人员不在您执行 Keycloak 发行的令牌刷新时刷新任何外部令牌。他们是聪明的人，所以我相信有理由，但到目前为止，我还没有能够弄清楚。我一直在考虑扩展现有的 OIDCIdentityProvider 来实现这一点，但除非我了解自己要做什么，否则我不想打开这个罐子。如果有人有任何见解，我将不胜感激。

抱歉重新激活一个已经停止的讨论。我可以确认你是在说令牌交换会自动为我们续订令牌吗？还是我们需要调用令牌端点才能实现这一点？或者它根本不会自动续订？