Вы правы, токен доступа не содержит всех этих данных.
В Keycloak при использовании адаптеров на стороне сервера клиент будет настроен на использование стандартного потока, а не неявного потока OIDC.
В стандартном потоке, когда вы входите в систему с помощью Keycloak IDP, ваш интерфейс перенаправляет на Keycloak IDP и запрашивает ваши учетные данные.Если у вас есть правильные учетные данные, вход в систему будет успешным, и вы будете перенаправлены обратно в свое приложение.В этом перенаправлении ваше приложение получает код, который затем отправляет на внутренний вызов rest.Этот код используется адаптером Spring в приложении весенней загрузки для вызова IDP-сервера Keycloak, и именно в этом вызове загрузочное приложение получает пользовательский контекст для принятия всех решений об авторизации в ответ от сервера Keycloak.
Надеюсь, это имеет смысл.