Oauth 代表微服务解决方案中的流的Azure Active Directory
我有一个微服务解决方案,在微服务前面有一个API网关。我希望在微服务级别进行授权。我有一个SPA客户端,它使用隐式流获取令牌并调用API。在API中,我使用代表流获取令牌,以作为用户调用相关的微服务。因此,对于微型公司来说,它似乎是用户,可以执行授权 我的问题是,如果我不代表flow使用,我需要向API网关授予访问微服务的应用程序级权限。如果我提供API应用程序级服务到服务(客户端凭据授予流)功能,那么我将不得不依赖网关API来执行授权,这似乎是一个非常糟糕的主意。在类似的场景中,如果另一个API需要调用我的API,这也是一个非常糟糕的主意 我的问题是:还有什么其他方法可以让我将用户身份传递到微服务,从而实现适当的授权Oauth 代表微服务解决方案中的流的Azure Active Directory,oauth,authorization,azure-active-directory,microservices,Oauth,Authorization,Azure Active Directory,Microservices,我有一个微服务解决方案,在微服务前面有一个API网关。我希望在微服务级别进行授权。我有一个SPA客户端,它使用隐式流获取令牌并调用API。在API中,我使用代表流获取令牌,以作为用户调用相关的微服务。因此,对于微型公司来说,它似乎是用户,可以执行授权 我的问题是,如果我不代表flow使用,我需要向API网关授予访问微服务的应用程序级权限。如果我提供API应用程序级服务到服务(客户端凭据授予流)功能,那么我将不得不依赖网关API来执行授权,这似乎是一个非常糟糕的主意。在类似的场景中,如果另一个AP
我见过Identity Server中使用另一个头的例子,但由于Identity Server中缺少“代表”选项,我不知道是否这样做。顺便说一句,我意识到我可以将用户身份作为字符串传递,但我将失去所有已签名令牌的好处,这些好处可以确保令牌没有被篡改你有没有考虑到OBO流程让你考虑使用其他的东西?好奇地知道你在这个方向上做了什么吗?有什么更新吗?同样,你最后做了什么?我有一个非常相似的要求,并试图决定最好的方法。由于海外建筑运营管理局是针对一组特定作用域的特定用户,它是否需要为每个请求调用身份验证服务器?我最终选择了海外建筑运营管理局,它工作得很好。我可以在微服务级别缓存获取的令牌以提高效率,但在最初获取令牌或刷新令牌时,仍然需要每个用户与AAD进行一些来回通信。我想这取决于你想要的信任和安全程度。海外建筑运营管理局的方法是相当直截了当的,在你解决了问题并使之成功后,因此我不需要信任呼叫服务。我必须相信AAD,但我已经在这么做了。