サードパーティのサービスは承認のためにJWTに依存できますか
マイクロサービスアーキテクチャでの認証にJWTを使用しています。 1つのUIWebアプリと複数のREST API公開サービスがバックエンドにあります。アクセス許可情報を使用してUIにJWTを提供するIAMサービスを検討しています。UIはこれを使用して別のUIに接続できますマイクロサービスX。ただし、この場合、XはIAMに連絡して検証する必要がありますか、それとも自己完結型であるため、Xは要求を続行する必要がありますか?
ユーザーはIAMでセッションをログアウトできることに注意してください。
Xは、JWT認証トークンの署名と有効期限を確認し、認証サーバーに直接接続しないでください。
ユーザーがトークンの有効期限日より前にログアウトした可能性があるため、ログアウトは問題にしわを追加します。
ただし、認証トークンの有効期限は短い(1/2分)必要があります。傍受されたトークンを使用してハッカーの問題を制限します。
更新トークンの有効期限は長くする必要がありますが、新しい認証トークンを生成するために認証サーバーにのみ送信してください