我们正在尝试建立一个基于 NodeJS 的计划作业,它将通过 API 网关调用 API。API 调用另一个 API。不涉及用户或浏览器。调用必须经过身份验证,并具有来自 IdP 的有效 OAuth 令牌。采用更安全的方法应该是什么样子?
流程应该是什么样子?API 网关或第二个 API 应该验证令牌的哪一个?或两者?谢谢
问问题
27 次
1 回答
1
一个关键点是 JWT 访问令牌验证旨在扩展。在旧架构中,通常使用外围安全(例如 API 网关验证令牌),但不再推荐这样做。
而是使用库验证每个 API 中的 JWT。下面是一些示例代码,对于其他技术,请参阅Curity API 指南。
如果您对 API 安全趋势感兴趣,这里有几篇相关文章:
最后,本文讨论了 JWT 通常可以在微服务之间转发,以保持您的代码简单。
于 2021-11-30T20:11:46.160 回答