我正在实施一个简单的基于微服务的项目,并且面临有关身份验证的一些疑问。我的疑问更多是关于最佳实践,而不是技术方面的事情。
我所拥有的:
我想知道的事情:
假设我有一个api/user/<user_id>这样的终结点,可以处理POST请求,并且可以更改有关用户的信息。
为此,我不仅需要检查是否是经过身份验证/允许的用户,还必须检查尝试访问它的用户是否是自己的用户。
我的问题是,最好在API网关中执行此操作,还是API网关需要将JWT传递给API,以便它可以在控制器上进行检查?
答案 0 :(得分:1)
API网关的唯一目的是请求路由,身份验证和负载平衡。
应该在该微服务中检查用户是否具有修改权限,并应做出决定。