1

我有一个非常笼统的问题,我找不到关于 Kong 的答案。我在官方文档中找不到对建议的整体架构的正确描述。特别是,我不清楚它应该如何与消费者注册一起工作。

  • 创建消费者的调用看起来是公开的,所以任何人都可以创建一个,这将取决于我的上游服务来了解该用户是否真的是我的一个或某个随机用户

  • 假设我想使用 JWT auth 插件,那么当用户注册时,我应该给他自己的秘密,以便他能够计算他的令牌。我的意思是,我的服务知道一个新用户正在注册,并且应该查询 kong 以获取有关他的秘密的信息。在这个过程中,我清楚地看到了我的用户的秘密,这是应该的方式吗?

4

2 回答 2

2

罗西,

  • 我不会向公众公开 kong 的管理端口,这会阻止您担心的那种呼叫。
  • 我永远不会直接发送秘密,我宁愿根本不发送秘密。如果您有类似资源所有者系统的东西与 kong 交互会更好,您可以在访问用户的秘密之前使用它来验证密码,然后生成令牌并将其发送回用户。我认为这是一个很好的方法。
于 2015-12-30T20:16:06.247 回答
0

you should not expose the kong admin interface publicly. you should access it manually by logging to the kong server console or automatically via a local service installed on the same server which authenticates incoming admin requests and allows only you to create users.

于 2017-04-29T07:50:14.357 回答