我将使用KONG作为我的内部API的API网关,这些内部API需要公开展示,例如(网络+移动)
我已经阅读了SO此处发布的一些有关KONG身份验证的想法,但我想知道是否有人实现了与我相同的用例。
我正在考虑使用基本身份验证,因为它具有用户名和密码的组合。该过程将是:
[POST] /register-将用户注册到我的应用程序。它将有一个事件,该事件还将使用Basic Auth
[POST] /login-我的应用检查了正确的凭据,如果正确,则发回用户数据和用户名+密码的base64编码。它将类似于:
{
"data" : {
"name" : "John Doe",
....
},
"token": "Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l"
}
我的问题:如果这样做,我的用户和API Gateway使用者的比例将为1:1(用户:消费者)。这被认为是可以实现的,还是我必须用另一种方式呢? (例如OPENID等)
我可以为不需要“用户”身份验证的消费者(例如,第三方应用程序)进行JWT,但是对于这种用例,什么是最好的? TIA!