Architecture 如何在微服务和API网关体系结构中验证和授权不同的配置文件
我想建立一个微服务架构。它应该有13个微服务和3个客户端(2个网络客户端和1个移动客户端) 在我们的场景中,我们有:Architecture 如何在微服务和API网关体系结构中验证和授权不同的配置文件,architecture,oauth-2.0,asp.net-identity,microservices,api-gateway,Architecture,Oauth 2.0,Asp.net Identity,Microservices,Api Gateway,我想建立一个微服务架构。它应该有13个微服务和3个客户端(2个网络客户端和1个移动客户端) 在我们的场景中,我们有: 员工:对特定和共享服务的访问权限及其凭据存储在Active Directory中 管理员:他们是具有完全访问权限的员工。他们有特定的和共享的服务,他们的凭证存储在Active Directory中 客户:对特定和共享服务的访问及其凭据存储在Identity microservice中 我们将有一个API网关 每个请求都由API网关处理,该网关应(或调用负责人)检查请求的令牌是
- 员工:对特定和共享服务的访问权限及其凭据存储在Active Directory中李>
- 管理员:他们是具有完全访问权限的员工。他们有特定的和共享的服务,他们的凭证存储在Active Directory中李>
- 客户:对特定和共享服务的访问及其凭据存储在Identity microservice中
- API网关的职责是什么
- 身份微服务的职责是什么
- 如何管理定义员工、客户和管理员可以访问或不可以访问哪些API/微服务
- 如何确定给定用户是客户、员工还是管理员
- 保安
- 伐木
- 路由
- 版本控制
- 转化
除非我有更多的洞察力,否则回答这个问题并不难。太好了。API Gatway负责什么样的安全?因此,您可以根据身份、客户和员工的具体数据为他们提供不同的服务。对吗?响应是否必须包含角色、范围和声明?为什么?API网关可以剥离安全请求。这有点复杂,因为您需要放弃身份验证,但保留授权。但它可以说用户就是他声称的那个人,下游的任何人都不需要检查它。可以缩短几毫秒。2.呼叫是您的,但由于所有这些都只是一个标识,我将有一个服务和多个租户,并将外部Active directory打包在这后面。3.回应不必如此。请求应包含带有标识、角色和声明的标题信息。