¿Cómo usar Oauth2 y JWT para asegurar la arquitectura de microservicio?

1

Hemos estado investigando el mecanismo adecuado para asegurar los microservicios que vamos a proporcionar como puntos finales de API a través de la aplicación del administrador de API.

Fundamentalmente, necesitamos un mecanismo de seguridad sin estado como JWT para asegurar cada punto final de API.

Se pensó que teníamos un servicio separado llamado "Servicio de autenticación" para emitir tokens y validarlos.

Se nos ocurrió el siguiente enfoque

Pero parece que todas las solicitudes deben ir a través del Servidor de autenticación y luego se convertirá en un lugar muy ocupado. Hay algún mecanismo estándar para superar esta situación. Hemos escuchado acerca de proporcionar un token de acceso al cliente por separado en lugar del token de autenticación original, pero tenemos problemas con validación del token de acceso desde el nivel de microservicio. Cualquier solución sería muy apreciada.

Gracias de antemano.

    
pregunta Nuwan Attanayake 24.08.2018 - 06:24
fuente

1 respuesta

1

¿Por qué dice que todas las solicitudes deben pasar por el servidor de autenticación? Solo la primera solicitud (solicitud de inicio de sesión) hasta que el token JWT caduque está gestionada por Auth Server. Después de eso, su API debe poder validar las reclamaciones de JWT utilizando la parte firmada de la misma.

Debería tener un token de acceso directo corto y un token de actualización en vivo largo. Echa un vistazo a este artículo .

    
respondido por el David Magalhães 24.08.2018 - 22:03
fuente

Lea otras preguntas en las etiquetas