我使用 express gateway 作为 API Gateway 中间件,设置如下。
- Express 网关仅用作网关。
- 我的身份验证(用户数据库)服务器位于不同的位置,我将所有登录请求路由到身份验证服务器以获取 jwt。
- 多个资源服务器位于快速网关后面。这不会授权或验证任何请求。所有传入的请求都被视为已通过身份验证
我已经设置了 EG 配置,以便它验证 JWT 并仅通过正确的 JWT 传递请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我从身份验证服务器撤消了访问和刷新令牌。但是,被撤销的JWT 令牌仍然是有效的令牌。网关继续通过已撤销的 jwt 传递传入的请求。
如果 JWT 在 Express 网关中仍然有效,有没有办法检查远程 api?