我正在开发一个 WildFly-Backend（在 Java 中），它接受通过“授权”HTTP 标头使用用户的 Keycloak 持有者访问令牌签名的 HTTP 请求（来自自定义前端）。

后端连接本身已经通过用于 WildFly 的 Keycloak 适配器进行了保护，但在内部，我想检查用户是谁（用户组、名称等）并返回非常有用的响应。

我认为可以只从前端发送这些数据，但是一旦他们拥有访问令牌，人们就可以轻松伪造请求。有没有办法在只有访问令牌的情况下检索用户数据之类的东西？