我正在开发我的第一个基于 Web 的 SOA 应用程序。我对 SOA 非常陌生,并且仍在尝试围绕服务设计的最佳设计原则,特别是在服务应该与另一个对话的方式方面。
我试图弄清楚的当前问题与身份验证和授权有关。假设我有一个简单的用户服务和事件服务,其中事件服务代表日历中的事件。让事件服务调用用户服务来授权请求是一般做法吗?或者,在客户端和请求的服务之间存在的系统上实现用户授权会更好吗?该系统本质上只是另一个服务,它检查用户凭据以确保他们可以访问请求的操作(GET events/1 等),如果可以,则将请求发送到服务。该服务还可以充当中央负载平衡器和缓存...我只是喜欢将用户逻辑保留在每个特定服务之外的想法。