<div dir="ltr">I&#39;ve been trying to setup apiman + keycloak-oauth-plugin + keycloak + keycloak.js with a client-side angularjs app and a REST API. It&#39;s a scenario very similar to <a href="https://github.com/keycloak/keycloak/tree/master/examples/demo-template/angular-product-app">https://github.com/keycloak/keycloak/tree/master/examples/demo-template/angular-product-app</a>, but with apiman and CORS.<br><br>My test are going well with curl, but using my javascript app the browser it is performing a CORS preflight OPTIONS request without authorization header. <br><br>OPTIONS request works well with authorization header using curl, therefore, I&#39;m not sure whether the browser should include authorization header or apiman should allows CORS preflight requests (OPTIONS) without authorization header.</div>