我是微服务架构的新手,正在使用OAuth2.0设计微服务的安全架构。我们正在使用IBM API Connect作为微服务的API网关,并使用Tivoli ISAM作为身份提供者。
我已经想到了流程,但是在流程的正确性以及做到这一点的最佳方法方面需要帮助。
请求来自API Connect层的UI,访问令牌嵌入在由ISAM针对特定范围发出的请求标头中。
API Connect通过自省URL与ISAM联系以验证访问令牌
ISAM返回有效性
如果令牌有效,API Connect会将请求转发到相应的微服务
但是,如果令牌无效,API Connect将引发异常并限制对API的访问。
接下来我需要理解几个问题来理解这个概念。
流是否正确或完整?如果不是,那么正确的流程是什么?
如果令牌过期,如何从微服务刷新访问令牌?
是否需要在API Connect层进行令牌交换?
我们正在将Spring boot用于微服务。
感谢您能帮助我理解这个概念。
谢谢。