Ho una serie di microservizi accessibili solo esternamente tramite un gateway API.
Il mio gateway API è impostato come risorsa OAuth e convalida il token (firma dei controlli, ecc.) prima di passare la richiesta a valle a uno o più microservizi.
Mentre i miei microservizi hanno bisogno del token per verificare gli ambiti e le attestazioni, è ora necessario che questo servizio convalidi anche il token?
Sembra un po 'eccessivo, ma non riesco a trovare alcun consiglio online su questo scenario.
La convalida del token nel gateway API è sufficiente? O è la migliore pratica per convalidarlo di nuovo più tardi?