Keycloak 通过代理或直接从单页应用程序访问KeyClope管理API？

我有一个SPA、一个后端restapi和keydepot作为身份服务器

对于站点的管理功能，我需要访问KeyClope管理API，现在，我想知道是否最好甚至可能使用当前登录的管理员令牌直接从SPA访问KeyClope API，或者是否最好在我的后端API上创建端点，然后作为KeyClope admin API的代理

---

除了端点定义之外，似乎很难获得关于KeyClope REST API的任何好信息。因此，我不确定一个普通的管理令牌是否满足API的身份验证，如果满足，那么应该是什么样子，因为您可以对JWT负载进行大量修改，并且我尝试尽可能地将其最小化。

没有明确的答案。这实际上取决于您的安全意识以及您能够接受何种安全风险。我知道一些例子，其中keydove管理API位于Nginx反向代理之后，需要相互TLS身份验证。因此，在现有的keydape auth之上还有额外的auth方法TLS-client-cert，只是为了让坏人更难对付

---

我想说，如果您能够对所有潜在的CORS问题进行排序，那么从SPA直接访问将很容易实现，但通过后端代理可以为您提供更好的选项，以便在应用程序级别审核请求。

您的问题应该更具体。什么样的keydeporestapi？那是标准的OIDC登录/授权API还是keydape管理API？@JanGaraj哦，对不起，我说的是管理API。