我可以使用mTLS进行身份验证而不是开放ID连接吗？

Question

我希望使用mTLS来保护微服务，而不是开放ID连接。

正如我了解mTLS的工作原理一样，它通过SSL握手加密两个服务之间的通信。

但是，我可以使用mTLS作为身份验证机制，而不是通过开放ID连接来保护服务吗？

Answer 1

您可以使用mTLS作为微服务之间的基础设施安全解决方案，但是它会有局限性，并且无法管理用户级别的安全性。因此，这取决于您的微服务的客户端是谁，以及您需要如何授权API请求。

用户级安全

这是使用OAuth和OIDC的地方，通常有一个web或移动应用程序作为客户端：

• 客户端运行一个代码流并获取令牌。
• 客户端向微服务发送访问令牌。
• Microservices接收标识用户的JWT访问令牌。
• 当需要时，Microservices可以将其转发给其他微服务。

由于访问令牌中的用户身份，API可以执行用户级授权(如to )。确保用户只能查看自己的购买历史记录。

结合mTLS和OAUTH

将这两个构建块组合在一起是很常见的，安全标准/法规有时也需要这样做。有关一些示例场景，请参阅此财务级安全概览。