当公共不安全的微服务需要访问安全的微服务时,最佳实践是什么

【问题标题】:what is the best practice when public in-secured microservice need to access secured microservices当公共不安全的微服务需要访问安全的微服务时,最佳实践是什么
【发布时间】:2020-07-18 16:00:13
【问题描述】:

我有一个 SaaS 单体,我正在迁移到微服务 API。 9 个微服务中有 7 个由 JWT 保护。而其他两个微服务应该具有匿名访问权限,结果是从受保护的微服务中聚合而成的。

我只需要在每个匿名微服务上公开 1 个操作。

谢谢

【问题讨论】:

  • 我目前公开了两种身份验证操作,一种用于使用,另一种用于服务。用户操作接受凭据并且服务操作需要一个密钥,身份验证服务正在根据该密钥生成 JWT
  • 您在标题中说不安全的微服务需要调用 JWT 安全的微服务?如果这是真的,您也应该考虑对不安全的端点强制执行 JWT 安全性。如果端点需要 JWT 安全性来完成他们的工作,即使安全性只需要调用依赖项,那么您的端点也需要 JWT 安全性。

标签: api .net-core jwt microservices


【解决方案1】:

您可以使用client credentials 访问令牌来保护不安全和安全微服务之间的通信。然后,受保护的微服务将为每个请求接收一个访问令牌,可以是为用户颁发的访问令牌,也可以是为客户端颁发的访问令牌。

【讨论】:

    猜你喜欢
    • 2017-11-14
    • 1970-01-01
    • 2020-06-16
    • 2018-08-27
    • 2014-03-14
    • 2016-10-18
    • 2017-03-05
    • 2018-09-28
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode