其他微服务的BFF/网关授权模式

Question

我正在开始一个使用Azure作为我们的无服务器框架的项目。

该项目由两个独立的前端应用程序组成，它们必须与一些后端服务进行对话，其中一些将由我创建，另一些将由其他团队进行。

我计划在前端和其他域服务之间实现一个BFF。

我的问题是关于授权。我能想到两种方法：

1. 从BFF转发令牌到域服务， a. FE请求令牌从Auth provider b. FE发送令牌到BFF c. BFF验证令牌，scopes d. BFF在调用域服务时将令牌添加到http报头。
2. BFF请求和缓存机器2机器令牌以调用其他服务 a. BFF被配置为其他services b. BFF请求令牌的客户端，并且缓存/刷新它的periodically c. FE请求令牌从provider d. FE发送令牌到BFF e. BFF验证令牌，scopes f. BFF使用自己的令牌之一调用其他服务。

我可以看到模式一更容易实现，因为只有一个令牌，它允许访问BFF和其他服务。但我不确定这是否是一个合适的模式。

有人能分享他们在这个问题上的经验吗？

Answer 1

模式1是您想要的方法。通过调用Auth服务创建一个令牌，并在任何其他服务中验证时使用该令牌。您不想在您的基础设施中的任何地方缓存令牌--它违背了使用令牌的目的，成为了潜在的安全弱点(因为如果有人攻击您，他们可以为他们想要的任何人提取所有令牌，并模拟用户-确实，他们可以使用用户/pass来实现这一点，但是在一个地方保护这些令牌比一堆服务器缓存令牌更容易)。