Keycloak. Права для каждого микросервиса

Есть пока 3 клиента в keycloak:

1. webservice(public)
2. microservice1(confidential)
3. microservice2(confidential)

При обращении к микросервисам с webservice передается access_token. Можно ли на стороне микросервиса получить права необходимые только для него не передавая их в самом токене? В теории миросервисов может быть и 50, необходимо решение чтобы не раздувать access token.

Второй вопрос. Как правильно организовать предачу токена клиента при общении микросервисов между собой? Необходимо ли его обменивать в каждом микросервисе на новый?