Estoy tratando de construir una aplicación web dividida en un grupo de microservicios y cada microservicio es un servidor de recursos. También tengo un servidor de autenticación separado.
Me pregunto cuál de los siguientes enfoques es mejor o si cree que tiene una mejor idea o si cree que OAUTH no es la herramienta adecuada para esto.
Estas son las formas en que lo he intentado:
- El usuario (propietario del recurso) va a la página de inicio de mi aplicación enlace
- Esta página de destino tiene un campo de nombre de usuario y contraseña, por lo que, una vez que el usuario ingrese en estos campos, realizo una llamada ajax al servidor de autenticación, que finalmente me dará un token de acceso después del FLUJO DE SALIDA DE DOS PUNTOS.
- Ahora tomo el token de acceso auth y voy al servidor de recursos para acceder al recurso.
- El servidor de recursos ahora realizará otra llamada http al servidor de autenticación mediante programación para verificar el token de acceso una vez que el servidor de autenticación diga que sí, entonces el servidor de recursos servirá la solicitud hasta su finalización (de esta manera, el servidor de recursos estará totalmente aislado con la autenticación proceso)
La otra forma sería permitir que el servidor de recursos verifique el token de acceso al hablar con la base de datos compartida.
¿Cuál de estos es el más común en la industria? ¿Alguna otra idea sobre cómo verificar los tokens de acceso?