中央JWT认证/授权服务

Question

我正在建立一个中央JWT身份验证/授权服务。我们将有多个API，客户端将需要与之通信并对其进行身份验证。

我的想法是让用户登录，这将对JWT服务器进行身份验证。然后使用该令牌与其他资源API进行通信。在发送回请求之前，这些API将针对JWT服务器验证令牌。

这是一个相当不错的方法来解决这个问题吗？有人实施过这样的计划吗？我现在看到的一个问题是，与JWT服务器之间有大量的通信。

Answer 1

这听起来是个不错的办法。我已经实现了一个解决方案，其中JWT服务是我API的一部分。正如我从您的问题中了解到的，您希望单独拥有这个JWT服务，以便用户可以使用相同的令牌与不同的服务/应用程序交互。这叫做单点登录。

如果您认为您的JWT服务获得了大量的流量，那么始终可以旋转更多的实例来处理额外的负载。

只要您的服务只是从数据库中获取令牌，并且快速响应请求而不进行任何计算，我就不会看到它受到大量流量的影响。