Abbiamo studiato il meccanismo appropriato per proteggere i microservizi che forniremo come endpoint API tramite l'applicazione di gestione API.
Fondamentalmente abbiamo bisogno di un meccanismo di sicurezza stateless come JWT per proteggere ogni endpoint dell'API.
Abbiamo pensato di avere un servizio separato chiamato "servizio di autenticazione" per emettere i token e convalidarli.
Siamo arrivati con il seguente approccio
Ma sembra che ogni richiesta debba passare attraverso Auth Server e quindi diventerà un posto molto occupato. Ci sono dei meccanismi standard per superare questa situazione. Abbiamo sentito parlare di token di accesso separato al client invece del token di autenticazione originale ma abbiamo problemi con validazione del token di accesso dal livello microservice. Qualsiasi soluzione sarebbe molto apprezzata.
Grazie in anticipo.