Стоит ли производить валидацию JWT и на каждом микросервисе, если валидация происходит на API Gateway?

Question

[razer96]

Добрый всем день. Вопрос простой, стоит ли с точки зрения безопасности производить валидацию JWT на каждом микросервисе при том условии, что изначально JWT валидируется на API Gateway перед тем как проксировать на нужный микросервис? Или же это излишняя нагрузка и затрата времени на обработку запроса? Или же с точки зрения безопасности является целесообразным защитить каждый маршрут на микросервисах?

Answer 1

[Иван Шумов]

В общей схеме это зависит от того гарантируете ли вы безопасность трафика между API gateway и бэкэнд. Если вы про AWS API gateway то вам вообще не нужно передавать токен дальше, а достаточно необходимой информации

Comments

[razer96]

Нет, у меня самописный API Gateway.

[Иван Шумов]

razer96, тогда вам надо обеспечивать безопасность между ним и бэкэндом

[razer96]

Иван Шумов, Каким образом? Ну если не прибегать к валидации токена на каждом сервисе? По факту на уровне nginx у меня в конфиге идет обработка запросов направленных только с API Gateway, сторонние запросы просто игнорируются.

[Иван Шумов]

razer96, если у вас простая система то вы можете пока себе позволить это, но когда система станет распределенной это больше не поможет держать все на уровне. Постарайтесь найти архитектуру AWS API gateway в связке с lambda. Там очень интересно и познавательно. Сейчас у меня нет возможности найти эту информацию.

[razer96]

Иван Шумов, Хорошо, благодарю

[razer96]

Иван Шумов, И все таки я пока останавлюсь на варианте проверки токена на каждом сервисе. Просто насколько я знаю Амазоновские продукты не бесплатны, у нас пока нет возможности брать их продукты, так как проект пилится под стартап. В дальнейшем конечно да, будут патчи, и рефакторинг с использованием более оптимальных технологий.

[Иван Шумов]

razer96, я предлагал смотреть на архитектуру, а не на продукт - это раз. Если у вас стартап то вам нужно MVP, что приводит к упрощению взаимодействия. Ну а два это то что AWS хоть и не бесплатен, но имеет Free tier и что касается подобных сервисов то они не дорогие, да и TCO понижается что важно. Плюс из коробки хорошая отказоустойчивость. Если надо то могу даль легкую консультацию) Для стартапа очень важно быстро выйти на рынок же

[razer96]

Иван Шумов, тоже верно