@razer96

Как производить проверку JWT на микросервисе, не имеющем никакой информации о пользователе?

Всем привет. У меня такой вопрос. Строю микросервисную архитектуру. У меня имеется отдельно сервис авторизации, который хранит в себе информацию о пользователе, там же генерируется JWT. Дальше клиент с уже имеющимся JWT делает запрос на какой-нибудь другой микросервис( например медиа-сервис ), но на этом сервисе нет никакой информации пользователе. Каким образом должна производиться валидация токена в данном случае? Каждый микросервис должен делать запрос через брокер на сервис авторизации, что заметно повлияет на полезную нагрузку, или же есть иное решение?
  • Вопрос задан
  • 498 просмотров
Решения вопроса 1
@nrgian
1) Запрашивать сервер аутентификации, да. Кэшировать его ответы.
2) Или же подписывать JWT закрытым ключем сервера аутентификации. Открытый ключ должны знать все сервисы.
3) Сервер аутентификации может уведомлять об отзыве JWТ через сервер MQ. Разумеется, каждый микросервис должен подписаться на эти уведомления.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы