为什么API网关和身份验证服务应该是不同的？

Question

使用API网关进行授权的优缺点是什么？如果API的头部中有JWT令牌和现有API的权限，我可以在API网关中匹配它。在授权服务中匹配这一点也将包括开销。

Answer 1

您可以使用API网关来检查JWT令牌，但是您首先需要一些东西来颁发令牌，那就是授权服务。

如果您提前获得了令牌的公钥，则无需联系授权服务即可验证令牌，这样您就可以验证源自令牌的JWT (例如https://jwt.io/)。您还希望令牌具有一些声明，如必须在过去的时间(iat)颁发的声明、必须在将来的过期(exp)、必须是您的身份验证服务的颁发者(iss)、必须在过去的登录时间(auth_time)、项目的受众(aud)以及可能的一些与项目相关的自定义声明。

如果您拥有所有这些，那么您确实可以在api网关上强制执行授权