微型服务. IPC认证/授权

Question

我们正在努力找出IPC身份验证和授权的最佳实践。我来解释。我们有一个基于微服务的体系结构SaaS，它有一个专用的认证服务。该服务负责执行身份验证和管理auth令牌(JWT)。

对于登录并开始使用来自不同服务的资源的用户来说，一切都非常好。

现在的问题是如何认证和授权由其他服务发起的请求(没有特定用户的上下文)？

1. 我们是否应该为每个服务生成一个专用用户，并像系统中的任何其他用户一样对待它(具有适当的权限)？
2. 我们应该在服务中部署一个“硬编码”/dynamic令牌吗？
3. 还有其他想法吗？

我们最关心的是这样的令牌/密码在某个时候会被破坏，因为从一个服务到另一个服务的请求会被高度的权限处理。

干杯,

Answer 1

我不是一个微型服务专家，我刚刚开始在微型服务世界中弄湿我的脚。从我所读到的到现在为止，这可以通过多种方式来处理，正如您所提到的，其中之一就是硬编码api-键，这样服务就可以相互识别。但是，我从来不喜欢这个想法个人-也使用用户的每个服务，如您提到的。非常喜欢的一个解决方案是使用Oauth2来处理这些场景--我发现一个有趣的实现是Gluu，我认为客户端凭据授予类型就是您要寻找的--请参考https://gluu.org/docs/integrate/oauth2grants/。

玩得开心:)

Answer 2

通常，API网关是任何MS系统的组成部分。所有服务都封装在一起，没有API网关就不能访问。

这种封装允许服务之间的直接通信，而无需提供请求者的有效负载，如果请求直接来自API网关，则应该需要请求方有效负载。

在这种情况下，请求被看作是不同的东西，并且遵循不同的逻辑/中间件管道。不需要额外的特殊用户。