安全:AccessToken

背景

你已经使用了微服务架构 和 API网关。应用包含一定数量的服务。API网关是客户端请求的唯一入口。它认证请求,并转发到其他服务。

问题

如何将请求者的身份沟通给处理请求的服务?

限制

  • 服务通常需要验证用户是否可以执行操作

解决方案

API网关认证请求,将安全的标记了每次请求的请求者身份的access token(比如 JSON Web Token)传递给其他服务。服务可以在请求其他服务时带上这个access token。

示例

使用示例和支持的库,可以参考JSON Web Token

结果

这个模式有如下优势:

  • 请求者的身份标识安全的在系统中传递
  • 服务可以验证请求者是否通过认证,执行某个操作

相关模式

  • API网关 使用这个模式

你可能感兴趣的:(安全:AccessToken)