我有一個多微服務體系結構,我打算應用安全性。
我的安全設計觀: 認證將與LDAP和發生在用戶身份驗證的JSON網絡令牌(JWT)將使用一個「密鑰」和令牌將有角色得到產生,到期時間等。每次調用微服務時,都會將此令牌傳遞到Header中進行授權。在我看來,我只有一個身份驗證服務器來驗證用戶並生成JWT。SpringCloud微服務JSON Web令牌(JWT)安全
我的疑問:
現在,當微服務將接收呼叫(包含在頭中的JWT)將它總是打auth服務器獲得令牌驗證?
如果是的話,它不會導致多次調用auth服務器,因此是一種不好的做法?
如果沒有,客戶端將如何驗證令牌以及auth服務器的範圍是什麼?
謝謝你,這個答案非常的它。因此,如果我們擁有所有微服務共有的公共密鑰,那麼分發公鑰的最佳方法是什麼?通過數據庫或通過配置服務器在微服務的情況下? –
如果您已經擁有正在運行的配置服務器並使用PKI版本,那麼以這種方式分配公鑰沒有任何問題。請注意,此通信必須安全。另一種方法是從某個集中式密鑰註冊表中獲取密鑰。有一個特殊的屬性'孩子'列出了名字。有關更多詳細信息,請參閱jws附錄:https://tools.ietf.org/html/rfc7515#appendix-D –