In der Verwaltungsoberfläche (Admin Console) von Keycloak kannst du ein Access Token nicht direkt widerrufen („revoken“). Access Tokens sind sogenannte JWTs (JSON Web Tokens), die nach ihrer Ausstellung gültig bleiben, bis sie ablaufen. Sie werden nicht zentral gespeichert, sondern sind selbstenthaltend und können daher nicht einzeln zurückgezogen werden. Was du als Administrator tun kannst: 1. **Sitzung beenden:** Du kannst in der Admin-Oberfläche die Sitzung eines Benutzers beenden („Logout“ oder „Session löschen“). Dadurch werden alle zugehörigen Tokens (Access, Refresh, ID) ungültig, sobald der Client das nächste Mal mit Keycloak kommuniziert. 2. **Refresh Token widerrufen:** Wenn du ein Refresh Token widerrufst (z.B. durch Sitzungsbeendigung), kann kein neues Access Token mehr ausgestellt werden. 3. **Token-Lebensdauer verkürzen:** Du kannst die Lebensdauer von Access Tokens in den Realm-Einstellungen reduzieren, damit sie schneller ablaufen. **Fazit:** Ein bereits ausgestelltes Access Token kann nicht direkt widerrufen werden. Du kannst aber die Sitzung des Benutzers beenden, sodass nach Ablauf des Tokens keine neuen mehr ausgestellt werden. Weitere Infos findest du in der [Keycloak-Dokumentation](https://www.keycloak.org/docs/latest/server_admin/#revoking-tokens).