【发布时间】:2020-08-24 02:52:39
【问题描述】:
我对 oAuth 中的资源服务器是什么感到非常困惑 ????。
资源服务器是否类似于 API 网关?或者资源服务器是一种业务类型的微服务,例如“搜索微服务”、“购物车微服务”?
如果我在 API 网关后面有授权服务器、API 网关和 15 个业务类型微服务,是否意味着我有 15 个资源服务器?
【问题讨论】:
标签: spring-boot oauth-2.0 microservices
【发布时间】:2020-08-24 02:52:39
【问题描述】:
OAuth2 terminology 中的资源服务器是客户端使用访问令牌来操作用户数据的服务。
是否有 15 个资源服务器取决于谁进行令牌验证。如果您的 API 网关在中继请求之前验证访问令牌,那么您的 API 网关将是资源服务器。如果每个微服务都验证自己的令牌,那么您将拥有 15 个资源服务器。
【讨论】:
-
感谢您的回复。我的 API Gateway 确实验证了令牌,但它是一个非常简单的验证,也就是检查令牌是否有效且未过期。每个下游微服务还执行令牌验证并提取 JWT 声明,并创建安全上下文,以便可以为该特定微服务公开的每个端点使用方法级安全性。我可以假设在这种情况下每个下游微服务也是一个资源服务器吗?
-
谢谢你,MvdD!
-
不客气。如果有帮助,请随时接受答案。
-
我一直在尝试,但我不会让我这样做,因为我没有足够的声誉。我是 Stackoverflow 的新用户。但我会继续检查它,并会尽快接受答案。
-
不用担心,您应该能够接受答案,但您没有足够的声誉来投票。另见:meta.stackexchange.com/a/5235