Abbiamo un'architettura di microservizi. Uno dei componenti è un'autenticazione & Servizio di autorizzazione, che implementa lo standard OAuth2 utilizzando JWT crittografati. Su ogni autenticazione di un utente a qualsiasi componente, il componente invia un REST al servizio per ottenere un token di accesso. In ogni interazione REST di un utente con qualsiasi componente, il componente invia un REST con il token di accesso dell'utente al servizio per autorizzarne il diritto a effettuare l'interazione. Ho due dubbi:
- I componenti parlano su SSL. OAuth2 richiede che i JWT siano crittografati, quindi li seguiamo ciecamente e li crittografiamo. Quindi, il token crittografato viaggia all'interno dell'SSL che non ha senso per me, ma abbiamo l'obbligo di seguire OAuth2. Ritengo che OAuth2 significhi che i JWT devono essere crittografati in generale, indipendentemente dal fatto che utilizziamo o meno il protocollo crittografato (ma non ne sono sicuro).
- Chiediamo sempre un servizio remoto per la verifica dei diritti, ma ritengo che un componente potrebbe semplicemente utilizzare una chiave pubblica per verificare la firma del JWT e leggere semplicemente il carico utile per trovare la voce
ROLE
richiesta in là senza coinvolgere la rete .