Oauth2とJWTを使用してマイクロサービスアーキテクチャを保護する方法
APIマネージャーアプリケーションを介してAPIエンドポイントとして提供するマイクロサービスを保護するための適切なメカニズムを調査しています。
基本的に、各APIエンドポイントを保護するには、JWTのようなステートレスセキュリティメカニズムが必要です。
トークンを発行して検証するために、「Authサービス」と呼ばれる別のサービスがあると考えました。
以下の取り組みを思いつきました
しかし、すべてのリクエストは認証サーバーを経由する必要があるため、非常にビジーな場所になります。この状況を克服するための標準的なメカニズムはあります。元の認証トークンの代わりに個別のアクセストークンをクライアントに提供することについて聞きましたが、アクセスの検証に問題がありますマイクロサービスレベルのトークン。どのようなソリューションでもありがたいです。
前もって感謝します。
なぜすべてのリクエストが認証サーバーを通過する必要があると言っているのですか? JWTトークンの有効期限が切れるまでの最初の要求(ログイン要求)のみが認証サーバーによって処理されます。その後、APIは、署名された部分を使用してJWTクレームを検証できる必要があります。
短いライブアクセストークンと長いライブリフレッシュトークンが必要です。 この記事 を見てください。
