微服务架构中的 JWT 验证和公钥发布

【问题标题】:JWT validation in a micro-services architecture and public key publishing微服务架构中的 JWT 验证和公钥发布
【发布时间】:2016-12-31 18:35:23
【问题描述】:

我们正在将 Web 应用系统重构为微服务架构。
我们决定使用JWT 对我们的用户进行身份验证,并在其中保存一些授权数据。例如,从令牌的有效负载可以推断出用户是否可以访问某个资源。

我们考虑两种选择:

  1. 每个微服务都会询问签名服务(例如 API 网关)令牌是否有效。
  2. 每个微服务都将持有公钥并验证令牌本身。

在管理公钥的情况下,网关服务如何将其公钥发布给所有其他微服务?

那里似乎有很多关于如何设计系统的信息,但没有关于如何实际实现这些东西的信息。

【问题讨论】:

    标签: microservices public-key-exchange


    【解决方案1】:

    我建议不要使用选项 1,因为它会给签名服务增加很多不必要的负担。

    签名服务可以共享其公钥。需要该密钥的服务可以在启动时简单地获取它并使用它来验证 JWT。话虽如此,您需要确保签名服务与它所说的一样,例如使用 HTTPS。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2018-02-24
      • 2021-09-30
      • 2021-08-13
      • 2017-10-05
      • 2020-11-16
      • 2017-05-28
      • 2017-12-23
      • 2019-04-14
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode