【发布时间】:2016-07-17 10:56:26
【问题描述】:
我们正在尝试找出 IPC 身份验证和授权的最佳做法。我会解释的。 我们有一个基于微服务的架构 SaaS,并提供专门的身份验证服务。该服务负责进行身份验证和管理身份验证令牌 (JWT)。
对于登录并开始使用来自不同服务的资源的用户来说,一切都非常好。
现在的问题是如何认证和授权由其他服务发起的请求(没有特定用户的上下文)?
- 我们是否应该为每个服务生成一个专用用户并将其视为 系统中的任何其他用户(具有适当权限)?
- 应该 我们在服务中部署了“硬编码”/动态令牌?
- 还有其他想法吗?
我们最担心的是此类令牌/密码会在某个时候受到损害,因为从一项服务到另一项服务的请求会被处理为高级权限。
干杯,
【问题讨论】:
标签: authentication microservices