春季安全作爲微服務

Question

我的應用程序的設計是類似下面的東西：

瀏覽器---調用---->網絡微服務----電話---> REST服務微

REST客戶端 - 呼叫 - > REST微服務。

我想使用spring security作爲應用程序的入口點來驗證用戶/會話/客戶端，並在下劃線微服務中重用有關用戶的信息。我正在考慮爲它提供安全服務。

瀏覽器 - >安全服務 ---->網絡微服務----> REST的microService

REST客戶端---->安全服務 ----> REST服務。

問題：

1. 如何安全服務將通過有關用戶的其他服務所需的信息？

2. 如果Spring安全需要與Web Service和REST服務集成，當REST微服務被Web服務調用或直接由其他客戶端調用時，令牌驗證如何工作？

3. 生成問題2的JWT令牌時，客戶端ID和密鑰應該是什麼？

注：所有服務都可以訪問同一個數據庫

Answer 1

如果我理解正確此，您可以查看安全服務爲處理身份驗證，並呼籲波谷到其他服務的代理？爲什麼不限制對REST服務的網絡訪問以確保所有請求都通過安全服務？然後，您可以將安全服務發送給REST的用戶名和其他信息常規參數發送給REST，因爲您可以信任所獲得的值。否則，您可能有另一個休息服務處理認證併發回用於調用其他服務的JWT令牌