REST 和服务到服务身份验证

Question

我正在研究微服务应用程序，现在正在考虑如何处理服务到服务调用中的安全性。

为简单起见，假设我只有两个服务：

1. API 网关（暴露在互联网上）
2. 服务 A（在 DMZ 中，只能通过 API gtw 访问）

服务 A 有一个 POST 端点，假设 POST /customers 创建一个客户。

我在 Api Gateway POST /gtw/customers 上也有 POST 端点。这样做的方式是进行一些验证（调用其他服务），如果一切正常，那么它将请求委托给服务 A。

我想要实现的是服务 A 中的端点只能由 API 网关调用（因此应用了验证）。我正在考虑两种方法：

1. 通过 JWT 令牌保护服务 A 中的端点，API 网关将生成令牌，然后它可以调用服务 A 中的端点
2. 保持原样，因为服务 A 在 DMZ 中运行，因此无法直接调用它（所以基本上它是在“基础设施”级别进行保护的）。

通过 JWT 令牌处理服务到服务的身份验证是一种好方法吗？

Answer 1

让我们一起讨论

通过 JWT 令牌和 API 网关保护服务 A 中的端点 生成令牌，然后它可以调用服务A中的端点

有时身份验证不是唯一的事情。授权也有很大的作用。如果您的服务具有基于角色的功能，那么这种方法是必须的。您的网关将验证令牌并将传递给您相同的令牌。 JWT 将包含可能包含角色的声明。因此，在根据角色完全填写请求之前，您必须重新验证并提取声明。即使在服务间通信中，服务也应该将 JWT 令牌与请求一起传递，并且您的服务应该对其进行验证。我一直更喜欢这种方法，因为 JWT 总是可以在本地验证，并且可以避免 Http 往返，因此不会减慢流程。

保持原样，因为服务A在DMZ中运行，所以不能 直接调用（所以基本上它是在“基础设施”级别保护的

此方法适用于简单的 Http 调用，但仅当您在私有子网或 DMZ 中运行后端服务时才有效。您应该只将这种方法用于简单的服务，而绝不能用于保存敏感数据的服务。

Answer 2

据我所知，我建议您使用 OAuth 来保护服务到服务的身份验证。 对于您的特定情况，您可以使用客户端凭据授予类型。它也很容易实现。 使用 JWT 是其中一种方法，但对于您的情况，我觉得带有客户端凭据授予访问权限的 OAuth 2.0 将是完美的匹配。