我正在阅读有关 API Gateways (Kong) 的信息,我想将它集成到我的应用程序中。我见过的每个教程都使用 Kong API 或通过 Konga 之类的仪表板为服务创建消费者。我已经有一个用户注册/认证服务。API 网关如何替代它?应该如何更改用户注册以便Kong知道?以及登录如何工作,因为在我看到的所有示例中,ApiKeys 或 JWT 机密都是在 Kong 中创建的?任何机构都可以阐明这在实践中是如何运作的吗?
1 回答
0
在我看来,Kong 不应该取代用户注册/身份验证服务。但是,它可以帮助您强制执行身份验证。
有多种方法可以保护您的 API 免受未经授权的访问。这些包括:
- API 密钥:此类型与
key-auth插件一起使用,并非用于验证用户(即自然人),而是用于验证消费者(即其他系统)。 - JWT 令牌:此类型与
jwt插件一起使用,适用于用户认证。Kong 负责验证 JWT 令牌(通过检查自包含令牌的签名和到期时间)。您当然可以使用自定义 Kong 插件或在您的上游服务中进行进一步检查。
因此,我认为您不应该将 Kong 视为您的用户服务的替代品,而应将其视为补充/添加,甚至可以在请求到达您的上游服务之前帮助您执行安全策略。
于 2020-05-22T21:42:18.997 回答