我們正在嘗試設定基于 NodeJS 的計劃作業,它將通過 API 網關呼叫 API。API 呼叫另一個 API。不涉及用戶或瀏覽器。呼叫必須經過身份驗證,并且具有來自我們 IdP 的有效 OAuth 令牌。擁有更安全的方法應該如何?
流程應該如何?API 網關或第二個 API 應驗證令牌中的哪一個?或兩者?謝謝
uj5u.com熱心網友回復:
一個關鍵點是 JWT 訪問令牌驗證旨在擴展。在較舊的體系結構中,通常使用外圍安全(例如 API 網關驗證令牌),但不再推薦這樣做。
而是使用庫驗證每個 API 中的 JWT。這是一些示例代碼,其他技術請參見Curity API 指南。
如果您對 API 安全趨勢感興趣,這里有幾篇相關文章:
- 零信任架構
- 幻象令牌模式
最后,本文討論了 JWT 通常可以在微服務之間轉發,以保持您的代碼簡單。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/372872.html
