弹簧安全作为一种微观服务

Question

我的应用程序设计如下所示：

浏览器-呼叫-呼叫-网络MicroService -呼叫- REST微服务 REST客户-呼叫-> REST微服务。

我希望使用spring安全性作为应用程序的入口点，对用户/会话/客户端进行身份验证，并在下划线微服务中重用有关用户的信息。我想找个保安服务。

浏览器->Security Service

REST客户端->Security-> REST服务。

问题

1. 安全服务将如何将所需的用户信息传递给其他服务？
2. 如果需要在Web服务和REST服务中集成Spring安全性，那么当web服务或REST客户机直接调用rest微服务时，令牌验证如何工作呢？
3. 在为问题2生成JWT令牌时，客户端id和secrect键应该是什么？

注意：所有服务都可以访问相同的数据库

Answer 1

如果我正确地理解了这一点，那么您将安全服务视为一个代理来处理auth，并将其调用到rest服务？为什么不限制对REST服务的网络访问，以确保所有请求都通过安全服务？然后，您可以将由安全服务发送的用户名和其他信息定期参数发送给其他信息，因为您可以信任所获得的值。否则，您可以使用另一个rest服务来处理auth并发回用于调用其他服务的JWT令牌。