Ich habe eine Reihe von Microservices, auf die nur extern über ein API-Gateway zugegriffen werden kann.
Mein API-Gateway ist als OAuth-Ressource eingerichtet und überprüft das Token (Überprüft die Signatur usw.), bevor die Anforderung an einen oder mehrere Mikrodienste weitergeleitet wird.
Während meine Microservices das Token benötigen, um Bereiche und Ansprüche zu überprüfen, muss dieser Service jetzt auch das Token validieren?
Es scheint ein bisschen übertrieben, aber ich kann online keinen Rat zu diesem Szenario finden.
Ist die Validierung des Tokens am API-Gateway gut genug? Oder ist es empfehlenswert, es später erneut zu validieren?
I cannot find any advice online about this scenario.
Weil es von mehreren Faktoren abhängt, die von Projekt zu Projekt variieren. Wahrscheinlich brauchen sie es in den meisten Entwicklungen, die behaupten, MS-Architektur zu sein, nicht. Darüber hinaus sollte es in solchen Architekturen einen Authentifizierungsserver geben, der dies anstelle der Dienste (und natürlich anstelle des Gateways) ausführt. Ist der Authentifizierungsserver, der die Anforderung weiterleiten lässt oder nicht.