我们正在改变我们的应用程序身份验证体系结构以切换到Json Web Token。
实际上,传入请求首先通过API网关,将请求分派给我们堆栈的各种微服务。
每个请求中传递的JWT的身份验证和验证都在网关中完成。
在认证之后你会对JWT做些什么?
我在两种解决方案中都看到了利弊:
Pro:我们一直保持标准的Authentification http标头。 缺点:我们必须解码每个服务中的令牌。
Pro:令牌已经解码并可直接在服务中使用。 缺点:我们必须使用非标准的http标头来传递解码的有效负载。
在那种情况下是否有任何“标准”方式?
你有什么看法?
谢谢!
答案 0 :(得分:0)
按原样通过JWT。解码的开销可以忽略不计,但是如果您的网关由于某种原因被旁路,则可以使系统更加安全。或者,也许您将来决定直接与您的微服务通信。