REST 和服務到服務身份驗證

Question

我正在研究微服務應用程序，現在正在考慮如何處理服務調用中的安全性。

為簡單起見，假設我只有兩個服務：

1. Api網關（暴露在互聯網上）
2. 服務 A（在 DMZ 中，只能通過 API gtw 訪問）

服務 A 有一個 POST 端點，假設POST /customers來創建一個客戶。

我在 Api Gateway POST /gtw/customers上也有 POST 端點。 它的工作方式是進行一些驗證（調用一些其他服務），如果一切正常，那么它將請求委托給服務 A。

我想要實現的是服務 A 中的端點只能由 API 網關調用（因此應用了驗證）。 我正在考慮兩種方法：

1. 通過 JWT 令牌保護服務 A 中的端點，API 網關將生成令牌，然后它可以調用服務 A 中的端點
2. 保持原樣，因為服務 A 在 DMZ 中運行，所以不能直接調用它（所以基本上它是在“基礎設施”級別上進行保護的）。

通過 JWT 令牌處理服務到服務身份驗證是否是一種好方法？

Answer 1

讓我們討論兩者

通過 JWT 令牌保護服務 A 中的端點，API 網關將生成令牌，然后它可以調用服務 A 中的端點

有時身份驗證不是唯一的事情。 授權也有很大的作用。 如果您的服務具有基於角色的功能，那么這種方法是必須的。 您的網關將驗證令牌並將傳遞給您相同的令牌。 JWT 將包含可能包含角色的聲明。 因此，在根據角色完全填充請求之前，您必須重新驗證並提取聲明。 即使在服務間通信中，服務也應該將 JWT 令牌與請求一起傳遞，並且您的服務應該對其進行驗證。 我總是喜歡這種方法，因為 JWT 始終可以在本地進行驗證，並且您可以避免 Http 往返，因此它不會減慢流程。

保持原樣，因為服務 A 在 DMZ 中運行，所以不能直接調用（所以基本上它是在“基礎設施”級別上進行保護的

此方法適用於簡單的 Http 調用，但僅當您在私有子網或 DMZ 中運行后端服務時才有效。 您應該只將這種方法用於簡單的服務，而絕不能用於保存敏感數據的服務。

Answer 2

據我所知，我建議您使用 OAuth 來保護服務到服務的身份驗證。 對於您的特定情況，您可以使用客戶端憑據授予類型。 它也很容易實現。 使用 JWT 是其中一種方法，但對於您的情況，我覺得 OAuth 2.0 與客戶端憑據授予訪問權限將是完美匹配。