MicroServicesOAuth2.0范围实现

Question

对于OAuth 2.0实现来说，实现这种场景的最佳方法是什么。

我的后端是用微服务架构设计的。

我有客户“移动”，它将打电话给ServiceA。

我可以添加“ScopeA”范围到“移动”客户端，这是很好的。

然后假设明天ServiceA将调用ServiceA授权的端点来完成请求。

我的问题是

哪个选项是正确的？

1. 当ServiceA启动调用ServiceB时，我应该向移动客户端添加ServiceB作用域
   • 我的意思是将“Mobile”客户端访问令牌传播到所有具有令牌中所有必需范围的微服务。

2. 与使用移动客户端访问令牌调用ServiceB不同，ServiceA应该获得自己的访问令牌来调用ServiceB。

对于第二种选择，我们将失去像主题信息这样的信息。

Answer 1

你有几个选择。一种选择是在ServiceA和ServiceB之间使用ServiceB。在请求中，可以将用户详细信息作为普通请求参数传递。

这种方法的优点是，即使用户没有登录，ServiceA也可以与用户是否登录无关地与ServiceB联系。例如，ServiceA可能需要对ServiceB执行一些后台请求。

另一个更高级的选项是委托身份验证，您可以在这文章中看到这些选项。