Come utilizzare Oauth2 e JWT per proteggere l'architettura dei microservizi?

1

Abbiamo studiato il meccanismo appropriato per proteggere i microservizi che forniremo come endpoint API tramite l'applicazione di gestione API.

Fondamentalmente abbiamo bisogno di un meccanismo di sicurezza stateless come JWT per proteggere ogni endpoint dell'API.

Abbiamo pensato di avere un servizio separato chiamato "servizio di autenticazione" per emettere i token e convalidarli.

Siamo arrivati con il seguente approccio

Ma sembra che ogni richiesta debba passare attraverso Auth Server e quindi diventerà un posto molto occupato. Ci sono dei meccanismi standard per superare questa situazione. Abbiamo sentito parlare di token di accesso separato al client invece del token di autenticazione originale ma abbiamo problemi con validazione del token di accesso dal livello microservice. Qualsiasi soluzione sarebbe molto apprezzata.

Grazie in anticipo.

    
posta Nuwan Attanayake 24.08.2018 - 06:24
fonte

1 risposta

1

Perché dici che ogni richiesta deve passare attraverso Auth Server? Solo la prima richiesta (richiesta di accesso) fino a quando il token JWT è scaduto viene gestita da Auth Server. Successivamente, l'API deve essere in grado di convalidare le attestazioni JWT utilizzando la parte firmata di esso.

Dovresti avere un token di accesso dal vivo breve e un token di aggiornamento dal vivo lungo. Dai un'occhiata a questo articolo .

    
risposta data 24.08.2018 - 22:03
fonte

Leggi altre domande sui tag