Ho visto un paio di discorsi che suggerivano l'uso della traduzione di token OAuth al gateway API dal token opaco al token JWT. Quali sono i vantaggi e gli svantaggi di questo approccio, chi dovrebbe usarlo?
Se utilizziamo HTTPS, non penso che ciò faccia alcuna differenza in termini di perdita di gettoni. Due svantaggi sarebbero ora i clienti non possono dedurre cosa possono fare o se il loro token è ancora attivo, e dobbiamo mettere tutte le nostre API dietro un gateway *.
*: Voglio dire che potremmo anche metterli dietro n gateway, purché parlino con un singolo server di autorizzazione, ma questo mette n volte il carico per l'AS.
Ecco un esempio di talk link