系统到系统集成和令牌验证

【问题标题】:System to system integration and token validation系统到系统集成和令牌验证
【发布时间】:2022-01-07 08:12:23
【问题描述】:

我们正在尝试设置基于 NodeJS 的计划作业,该作业将通过 API 网关调用 API。 API 调用另一个 API。不涉及用户或浏览器。调用必须经过身份验证,并具有来自 IdP 的有效 OAuth 令牌。采用更安全的方法应该是什么样子?

流程应该是什么样子? API 网关或第二个 API 应该验证令牌的哪一个?或两者?谢谢

【问题讨论】:

    标签: authentication oauth-2.0 api-gateway idp api-auth


    【解决方案1】:

    关键点是 JWT 访问令牌验证旨在扩展。在旧架构中,通常使用外围安全(例如 API 网关验证令牌),但不再推荐这样做。

    改为使用库在每个 API 中验证 JWT。这里有一些example code,其他技术见Curity API Guides

    如果您对 API 安全趋势感兴趣,这里有几篇相关文章:

    最后,this article 讨论了 JWT 通常可以在微服务之间转发,以保持您的代码简单。

    【讨论】:

    • 谢谢,在示例代码中,第一种方法在api网关中进行验证? api本身的第二个?架构流程应该是怎样的?
    • 示例代码应该在每个 API 中运行。网关可以作为自省角色参与安全性,但未来的方向是每个 API 在允许请求之前验证 JWT。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-04-18
    • 1970-01-01
    • 2021-06-12
    • 1970-01-01
    • 2016-11-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode