I microservizi dietro un gateway API devono verificare il token di accesso?

9

Ho una serie di microservizi accessibili solo esternamente tramite un gateway API.

Il mio gateway API è impostato come risorsa OAuth e convalida il token (firma dei controlli, ecc.) prima di passare la richiesta a valle a uno o più microservizi.

Mentre i miei microservizi hanno bisogno del token per verificare gli ambiti e le attestazioni, è ora necessario che questo servizio convalidi anche il token?

Sembra un po 'eccessivo, ma non riesco a trovare alcun consiglio online su questo scenario.

La convalida del token nel gateway API è sufficiente? O è la migliore pratica per convalidarlo di nuovo più tardi?

    
posta fml 02.08.2018 - 10:54
fonte

1 risposta

3

Se le chiamate interne possono bypassare il gateway, convalidare il token in ogni microservizio o forzare tutte le chiamate, interne ed esterne, a passare attraverso il gateway.

Personalmente non mi fiderei nemmeno delle chiamate interne. Falli passare attraverso il gateway, fino al punto di limitare il traffico tramite le regole del firewall. Sapere chi sta parlando con chi e perché. Questo aiuta a limitare la tua superficie di attacco se qualcuno viola la tua rete.

Questo introduce un singolo punto di errore, ma questo rischio può essere attenuato dai server di bilanciamento del carico e avere server di failover a portata di mano in caso di problemi catastrofici.

D'altra parte se ogni servizio convalida il token e qualsiasi cosa riguardante le modifiche al processo di convalida, devi aggiornare i servizi N + 1.

    
risposta data 02.08.2018 - 21:34
fonte

Leggi altre domande sui tag