[英]REST and service to service authentication
我正在研究微服務應用程序,現在正在考慮如何處理服務調用中的安全性。
為簡單起見,假設我只有兩個服務:
服務 A 有一個 POST 端點,假設POST /customers
來創建一個客戶。
我在 Api Gateway POST /gtw/customers
上也有 POST 端點。 它的工作方式是進行一些驗證(調用一些其他服務),如果一切正常,那么它將請求委托給服務 A。
我想要實現的是服務 A 中的端點只能由 API 網關調用(因此應用了驗證)。 我正在考慮兩種方法:
通過 JWT 令牌處理服務到服務身份驗證是否是一種好方法?
讓我們討論兩者
通過 JWT 令牌保護服務 A 中的端點,API 網關將生成令牌,然后它可以調用服務 A 中的端點
有時身份驗證不是唯一的事情。 授權也有很大的作用。 如果您的服務具有基於角色的功能,那么這種方法是必須的。 您的網關將驗證令牌並將傳遞給您相同的令牌。 JWT 將包含可能包含角色的聲明。 因此,在根據角色完全填充請求之前,您必須重新驗證並提取聲明。 即使在服務間通信中,服務也應該將 JWT 令牌與請求一起傳遞,並且您的服務應該對其進行驗證。 我總是喜歡這種方法,因為 JWT 始終可以在本地進行驗證,並且您可以避免 Http 往返,因此它不會減慢流程。
保持原樣,因為服務 A 在 DMZ 中運行,所以不能直接調用(所以基本上它是在“基礎設施”級別上進行保護的
此方法適用於簡單的 Http 調用,但僅當您在私有子網或 DMZ 中運行后端服務時才有效。 您應該只將這種方法用於簡單的服務,而絕不能用於保存敏感數據的服務。
據我所知,我建議您使用 OAuth 來保護服務到服務的身份驗證。 對於您的特定情況,您可以使用客戶端憑據授予類型。 它也很容易實現。 使用 JWT 是其中一種方法,但對於您的情況,我覺得 OAuth 2.0 與客戶端憑據授予訪問權限將是完美匹配。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.