web-dev-qa-db-ja.com

Oauth2とJWTを使用してマイクロサービスアーキテクチャを保護する方法

APIマネージャーアプリケーションを介してAPIエンドポイントとして提供するマイクロサービスを保護するための適切なメカニズムを調査しています。

基本的に、各APIエンドポイントを保護するには、JWTのようなステートレスセキュリティメカニズムが必要です。

トークンを発行して検証するために、「Authサービス」と呼ばれる別のサービスがあると考えました。

以下の取り組みを思いつきました

enter image description here

しかし、すべてのリクエストは認証サーバーを経由する必要があるため、非常にビジーな場所になります。この状況を克服するための標準的なメカニズムはあります。元の認証トークンの代わりに個別のアクセストークンをクライアントに提供することについて聞きましたが、アクセスの検証に問題がありますマイクロサービスレベルのトークン。どのようなソリューションでもありがたいです。

前もって感謝します。

4

なぜすべてのリクエストが認証サーバーを通過する必要があると言っているのですか? JWTトークンの有効期限が切れるまでの最初の要求(ログイン要求)のみが認証サーバーによって処理されます。その後、APIは、署名された部分を使用してJWTクレームを検証できる必要があります。

短いライブアクセストークンと長いライブリフレッシュトークンが必要です。 この記事 を見てください。

JWT Flow

2