У меня есть следующие настройки: одностраничное приложение, которое получает токены OAUTH2.0 с сервера Keycloak. Затем приложение выполняет API-вызовы на другом моем сервере, авторизованном с действительным значением access_token
.
Все работает, ожидайте, что я не знаю, как проверить токены с помощью Keycloak-Server. Обычно я просто использовал бы конечную точку самоанализа токена с client_id
вместе с client_secret
, но я не могу этого сделать, поскольку клиент, выдающий access_token
, равен public
, а не confidential
, поскольку я использую SPA.
Я полностью управляю сервером, на котором работает API, поэтому я был бы рад использовать любую аутентификацию, но я не нашел способа что-либо настроить на сервере Keycloak. Сервер API выполняет Node-Instance, и я хотел бы придерживаться Spe c, поэтому было бы предпочтительнее использовать конечную точку самоанализа токена, но я открыт и для других решений.