系统到系统集成和令牌验证

Question

我们正在尝试建立一个基于NodeJS的计划作业，它将通过一个API网关调用一个API。API调用另一个API。不涉及用户或浏览器。必须对调用进行身份验证，并从我们的OAuth中获得一个有效的IdP令牌。有一种更安全的方法应该是什么样的呢？

流程应该是什么样子？哪一个API网关或第二个API应该验证令牌？还是两者兼备？谢谢

Answer 1

一个关键点是JWT访问令牌验证被设计成可扩展的。在较旧的体系结构中，使用外围安全(例如API网关验证令牌)是很常见的，但不再推荐这样做。

相反，使用一个库验证每个API中的JWT。以下是一些示例代码和其他技术，请参阅Curity API指南。

如果您对API安全趋势感兴趣，以下是几篇相关的文章：

• 零信任体系结构
• 幻象令牌模式

最后，这篇文章讨论了JWT通常可以在微服务之间转发，以保持代码的简单性。