Witam,
posiadam aplikacje, którą mam spiętą z keycloak'iem. Wszystko działa poprawnie jednak potrzebuje feedbacku czy to co napisałem jest logiczne.

W pierwszej kolejności wykonuje uwierzytelnienie w Google gdzie następnie pobieram $_GET['code'], który przekazuje do curla i pobieram access_token. Po pobraniu access_token wykonuje kolejnego curla gdzie następuje autoryzacja i pobieram adres e-mail użytkownika, który następnie porównuje w bazie aplikacji i jeżeli występuje to go wpuszcza.

Po stronie aplikacji każde odświeżenie strony powoduje sprawdzenie za pomocą curla czy access_token nie został odwołany po stronie keycloak, jeżeli nie został odwołany to jest sprawdzany kolejny warunek tzn. czy access_token nie wygasł. Jeżeli wygasł to następny curl robi refresh_token. Tak to w skrócie działa.