Authentication 为什么API网关和身份验证服务应该不同?
使用API网关进行授权的优点和缺点是什么?如果API在头中有JWT令牌和现有API的权限,我可以在API网关上匹配它。在授权服务中匹配这一点也将包括开销。您可以使用API网关检查JWT令牌,但首先需要一些东西来发布该令牌,这就是授权服务 如果您提前获得了令牌的公钥,则可以在不联系授权服务的情况下对令牌进行验证,这样您就可以验证由其发起的JWT(例如,请参阅),并且您希望令牌具有某些声明,如必须在过去发出的时间(iat);到期日(exp)必须在将来,颁发者(iss)必须是您的身份验证服务,登录时间(auth_time)必须在过去,受众(aud)必须是您项目的id,可能还有一些与您的项目相关的自定义声明 如果您拥有所有这些,那么您确实可以在api网关上强制执行授权Authentication 为什么API网关和身份验证服务应该不同?,authentication,authorization,microservices,api-gateway,role-base-authorization,Authentication,Authorization,Microservices,Api Gateway,Role Base Authorization,使用API网关进行授权的优点和缺点是什么?如果API在头中有JWT令牌和现有API的权限,我可以在API网关上匹配它。在授权服务中匹配这一点也将包括开销。您可以使用API网关检查JWT令牌,但首先需要一些东西来发布该令牌,这就是授权服务 如果您提前获得了令牌的公钥,则可以在不联系授权服务的情况下对令牌进行验证,这样您就可以验证由其发起的JWT(例如,请参阅),并且您希望令牌具有某些声明,如必须在过去发出的时间(iat);到期日(exp)必须在将来,颁发者(iss)必须是您的身份验证服务,登录时间