В OID C обычно токен не проверяется активно, каждый раз отправляя его на сервер keycloak. Вместо этого токен проверяется только локально (путем проверки подписи с помощью сервера publi c key).
Итак, вы правы, клиент не сразу распознает выход из системы.
Из-за этого у вас часто возникает поток, в котором вы различаете guish между refresh и access токен. access_token имеет очень короткий срок службы (<= 5 минут), используется для аутентификации пользователя и проверяется с помощью проверки подписи. Когда <code>access_token больше не действителен, клиент должен использовать refresh_token, чтобы активно получить новый access_token из keycloak. На этом этапе keycloak проверит, вошел ли пользователь в систему, прежде чем выдавать новый токен.
Из-за этого refresh_token может иметь гораздо более длительный срок службы, и пользователю не всегда необходимо повторно вводить свои учетные данные.