Hemos estado investigando el mecanismo adecuado para asegurar los microservicios que vamos a proporcionar como puntos finales de API a través de la aplicación del administrador de API.
Fundamentalmente, necesitamos un mecanismo de seguridad sin estado como JWT para asegurar cada punto final de API.
Se pensó que teníamos un servicio separado llamado "Servicio de autenticación" para emitir tokens y validarlos.
Se nos ocurrió el siguiente enfoque
Pero parece que todas las solicitudes deben ir a través del Servidor de autenticación y luego se convertirá en un lugar muy ocupado. Hay algún mecanismo estándar para superar esta situación. Hemos escuchado acerca de proporcionar un token de acceso al cliente por separado en lugar del token de autenticación original, pero tenemos problemas con validación del token de acceso desde el nivel de microservicio. Cualquier solución sería muy apreciada.
Gracias de antemano.