如何在设计api结构时避免2次api身份验证

Question

PS: 3系统可以看作是通过HTTP restful api连接的3个微服务。

img如下图所示：

现在的情况是：

当api usage为1时( api auth通过时为外部api用户调用账号系统)，

当api使用量为2,3 (即api认证通过时，外部api用户调用业务系统)时，

当api使用率为4,5 (即内部业务系统，api auth已通过时调用账号系统)

这3种用法都很好。

但当api使用率为2，3，4，5时(即外部api用户在api auth已通过时调用业务系统，但业务系统必须调用账号系统才能完成此功能)。

这个api的使用必须做两次api身份验证，我认为这会使事情变得复杂。

要求外部api用户和内部系统在调用业务系统或账号系统时都必须通过api auth。

谁能告诉我怎么做身份验证更简单？

谢谢!

​

​

Answer 1

嗯。提供一个单独的身份验证服务器，并教您提到的所有业务服务与之对话。当涉及到相当复杂的微服务架构时，这是很常见的。

然后，您可以轻松地与任意数量的(微)服务共享相同的JWT (BTW，无关紧要:无论您喜欢什么)。