您好我希望对处理微服务授权的正确方法做一些澄清。我一直在努力研究这个结构,但还没有找到很多很好的资源。根据我的理解,有两种可能的流程。
流程1- 授权服务器在登录时向用户提供令牌。请求的所有其他API服务然后检查令牌。一旦看到令牌,它将请求授权服务器检查它是否有效并询问它是否有效。
流程2- 授权服务器提供令牌。对其他服务的所有API请求都会转到授权服务器,然后命令服务器会访问其他API服务并返回所需的数据。
我对此的疑问是:
哪种流程是最佳标准做法?
在其他API服务中构建用户数据的最佳方法是什么?他们是否只需要在表上使用标准user_id,并且一旦证明了令牌,就可以从授权服务器请求user_id
(流程1) - 是否有任何方法可以跳过每个请求的API和授权服务器之间的返回和第四。比如在会话中为该用户存储id或标记,或者这是不好的做法而且不安全?
我知道这是很多问题,但我想确保我对结构和流程有一个坚定的把握。谢谢你的帮助