从客户端直接访问Elasticsearch不是安全的，因为这样客户端将直接暴露Elasticsearch的接口，可能导致未经授权的访问、数据泄露等安全问题。为了确保安全性，建议使用API服务器来作为客户端与Elasticsearch之间的中间层，对客户端请求进行身份验证和授权，同时可以实现访问控制、数据加密等安全措施。

以下是一个示例，使用Node.js作为API服务器，通过身份验证和代理请求来保护Elasticsearch：

const express = require('express');
const httpProxy = require('http-proxy');

// 创建API服务器
const app = express();

// 创建Elasticsearch代理
const proxy = httpProxy.createProxyServer({
  target: 'http://localhost:9200', // Elasticsearch地址
  secure: false, // 如果Elasticsearch没有启用HTTPS，设置为false
  changeOrigin: true, // 修改请求的来源，以便Elasticsearch能够正确处理请求
});

// 身份验证中间件
app.use((req, res, next) => {
  // 进行身份验证逻辑，例如检查请求头中的令牌或用户名密码
  // 如果验证失败，可以返回401 Unauthorized错误
  // 如果验证成功，可以在req对象上存储用户信息，以供后续中间件使用

  next();
});

// 代理请求到Elasticsearch
app.all('/elasticsearch/*', (req, res) => {
  // 将请求代理到Elasticsearch
  proxy.web(req, res);
});

// 启动API服务器
app.listen(3000, () => {
  console.log('API服务器已启动，监听端口3000');
});

在上述示例中，我们使用Express框架创建了一个API服务器，通过http-proxy库创建了一个Elasticsearch代理。在中间件中，可以添加身份验证逻辑，例如检查请求头中的令牌或用户名密码，并在验证成功后将用户信息存储在req对象上。然后，通过app.all方法来代理所有以/elasticsearch/开头的请求到Elasticsearch。

通过这种方式，客户端将不再直接访问Elasticsearch，而是通过API服务器进行访问，从而提供了一层保护，确保安全性。