который может выдавать access/refresh токены при регистрации/авторизации и обновлении refresh_token'a и проверять валидность токенов. Есть одна точка входа - api-gateway. Есть 2 варианта:
1) При регистрации, авторизации и обновлении refresh_token'a сохранять в redis ключи, и при запросе где нужна авторизация, проверять ее в redis и если не найдено, то стучаться в сервис аторизации.
2) Для каждого авторизированного запроса делать запрос на валидацию токена в микросервис авторизации?
Представьте что вы бы хранили токены в постгресе, я думаю вы бы не стали всем микросервисам выдавать креды до него чтобы они там авторизацию смотрели?)
Т. е. это нормальная практика прогонять весь трафик через микросервис авторизации? Просто думал это намного увеличит время выполнения запроса.
jwt не вариант?
Не, я думал минимизировать количество запросов в сервис, путем кэширования на api-gateway
Ну, приходится, как второй вариант это jwt токены и всем сервисам которым нужна авторизация пользователя выдавать SECRET_KEY который должен быть общий для всех сервисов, тогда можно каждый раз не лезть в сервис авторизации
Весь не надо, только авторизацию
Использую jwt
Тогда шарьте всем сервисам ключ которым сервис авторизации подписывает токены
Каждый аввторизированный запрос будет идти в сервис авторизации тоже) Это в приложении, моем, примерно будет равно всему количеству запросов
Для проверки валидности нужен ведь приватный ключ, а это имеет только микросервис авторизации
Вот его вам тогда и прийдётся шарить всем сервисам которые проверяют заапрос на jwt токены
Как бы вы до этого хотели редис всем сервисам шарить и там токены проверять)
Я бы хотел оставить право валидировать токен только сервису авторизации.
Нет, проверять только на точке входа
Обсуждают сегодня