У меня есть следующие настройки: одностраничное приложение, которое получает токены OAUTH2.0 с сервера Keycloak. Затем приложение выполняет API-вызовы на другом моем сервере, авторизованном с действительным значением access_token.
Все работает, ожидайте, что я не знаю, как проверить токены с помощью Keycloak-Server. Обычно я просто использовал бы конечную точку самоанализа токена с client_id вместе с client_secret, но я не могу этого сделать, поскольку клиент, выдающий access_token, равен public, а не confidential, поскольку я использую SPA.
Я полностью управляю сервером, на котором работает API, поэтому я был бы рад использовать любую аутентификацию, но я не нашел способа что-либо настроить на сервере Keycloak. Сервер API выполняет Node-Instance, и я хотел бы придерживаться Spe c, поэтому было бы предпочтительнее использовать конечную точку самоанализа токена, но я открыт и для других решений.