簡體 English 中英

JWT 服務之間的令牌轉發

[英]JWT token forwading between services

原文 2023-02-01 16:52:06 2 1 api/ authentication/ jwt/ token/ forwarding

我有一個有問題的和一個潛在的解決方案，我想知道它是否是一個好的解決方案，或者是否存在更好的做事方式。
我有一個API A由帶有 JWT 令牌的前端調用。
如果該服務沒有解決方案，我希望該服務從另一個API B獲取解決方案。

轉發我從 Front User 收到的 JTW 令牌並以該用戶身份驗證到API B以請求我的數據（知道 JWT 可能攜帶有用信息）是個好主意嗎？
我是否應該刪除 JWT 並以與此 API 不同的方式進行身份驗證？
這些事情是否有行業標准或良好實踐？

JWT 訪問令牌旨在在 API 之間轉發。 這樣做可以維護可審核的用戶身份。 每個 API 然后驗證 JWT 簽名、發行者、受眾、范圍和聲明。 這有時被稱為zero trust API 架構 - 但有一些警告。

范圍

根據業務數據領域設計這些。 例如，客戶有范圍orders shipping並調用訂單 API。訂單 API 然后可以將 JWT 轉發給運輸 API。每個 API 必須檢查它需要的范圍。

相同的信任級別

與往常一樣，您需要考慮威脅。 我的上述建議是針對將 API 拆分為微服務的，通常是出於技術原因，例如較小的代碼大小和多個開發團隊。

不同的信任級別

考慮轉發一個JWT到一個大公司分部的一個Shipping API。 你可能不相信給他們orders scope。在這種情況下，使用代幣交換獲得一個新代幣，只有shipping scope，然后將其轉發給上游 API。

概括

始終致力於轉發維護可審核用戶身份的 JWT。 使用范圍作為一種成分來確保最小特權。 還要評估威脅，以防止潛在的攻擊。

[英]Securing a JWT token

[英]Django JWT token deactivate

[英]How is JWT token authenticated?

[英]JWT token decode in cakephp

[英]JWT token login and logout

[英]JWT token not being validated

[英]How to extract jwt token payload when token is expired in python jwt

[英]Error when creating token with JWT

[英]how to store JWT token in database

[英]JWT Token strategy for frontend and backend

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 保護 JWT 令牌 Django JWT令牌停用 JWT 令牌如何進行身份驗證？ cakephp中的JWT令牌解碼 JWT 令牌登錄和注銷未驗證 JWT 令牌如何在 python 中令牌過期時提取 jwt 令牌有效負載 jwt 使用JWT創建令牌時出錯如何在數據庫中存儲JWT令牌前端和后端的 JWT Token 策略

相關標簽