在Keycloak中，"SSO Session Idle"和"SSO Session Max"是用于配置单点登录（SSO）会话的两个参数。这两个参数影响用户在系统中的会话过期和最大有效时间。

这两个参数通常与安全性和用户体验的平衡相关。设置得太短可能导致用户频繁需要重新登录，而设置得太长可能增加安全风险。具体的设置应该根据你的应用程序的安全需求和用户行为来确定。

客户端会话有效期

"Client Session Idle"和"Client Session Max"是Keycloak中用于配置客户端会话的两个参数。这两个参数影响与客户端相关的会话过期和最大有效时间。

这两个参数通常与客户端相关的会话管理和安全性相关。设置得太短可能导致用户频繁需要重新进行身份验证，而设置得太长可能增加安全风险。具体的设置应该根据你的应用程序的安全需求和用户行为来确定。

会话有效期谁小用谁

在Keycloak中，会话的有效期确实是由这些参数中的最小值决定的。换句话说，如果设置了 "SSO Session Idle"、"SSO Session Max"、"Client Session Idle"和"Client Session Max"，则会话将在这些参数中的最小值所定义的时间段内过期。

这种行为是为了确保会话的有效期在所有相关配置中都被严格限制，以提供更加精确的控制。这也意味着无论是整体的单点登录会话有效期还是与特定客户端关联的会话有效期，都将受到最小值的限制。

空闲会话

在Keycloak中，有四个与空闲会话（Idle Session）相关的设置参数。它们的作用和关系如下：

这些参数共同用于控制空闲会话的超时和最大持续时间。"Offline Session Idle"和"Client Offline Session Idle"确定了用户在没有与Keycloak进行任何交互时，会话被认为是空闲的时间。而"Offline Session Max Limited"和"Offline Session Max"确定了会话可以持续的最长时间。如果会话超过这个时间段，它将被销毁。

请注意，领域设置中的参数适用于整个领域（realm），而客户端设置中的参数适用于特定的客户端。通过为每个客户端设置不同的值，您可以针对不同的客户端应用程序调整会话时间。

登录超时

• 如果用户在登录页，长时间停留（达到了后台配置的“登录超时”时间），不进行登录提交操作，会出现 登录超时，请重新开始登录 的提示，这时，页面自动刷新，用户重新提交登录请求即可。
• 登录超时配置：领域设置---tokens选项，如图
  

对于一种开源框架和产品的学习，我们主要还是实践中去总结它，只有在实践中才能发现它的问题及那些“不为你知”的功能。