使用带有Keycloak的Vue SPA作为IAM来连接各种微服务的API。 用户可以使用public client(浏览器上没有client-secret)使用授权PKCE代码授予流程登录Keycloak。它使用官方 JavaScript Keycloak 适配器。 每个微服务都通过保留的客户端定义到 Keycloak 上,具有读/写/删除资源的权限和策略。 我可以仅使用机密客户端来使用 Keycloak 授权。 避免在用户浏览器上“发布”客户端机密是正确的。
但是我用公共客户端登录时,如何使用需要confidential客户端的服务器授权API?