2)Только что тестил с Postman, и чтобы principal был не null,задал значения SesssionId и Oauth_Token_Request_State и запрос сработал,так что скорее все это идет на основе cookie.
1) Keycloak EventListener SPI чет не работает,сделал через authenticationSuccessHandler)