我有以下设置:单页应用程序,该应用程序从Keycloak服务器获取OAUTH2.0令牌。然后,应用程序通过有效的access_token授权对我的另一台服务器进行API调用。
一切正常,希望我不知道如何使用Keycloak-Server验证令牌。通常,我只会将令牌自省端点与client_id和client_secret一起使用,但是我不能这样做,因为发出access_token的客户端是public,而不是confidential,因为我正在使用SPA。
我完全可以控制运行API的服务器,因此我很乐意使用任何类型的身份验证,但是我没有找到在Keycloak服务器上配置任何内容的方法。 API服务器运行一个Node-Instance,我希望遵守规范,因此首选使用令牌自省端点,但我也欢迎其他解决方案。