我们正在寻找IPC身份验证和授权的最佳实践。我来解释一下。
我们的微服务架构SaaS有一个专门的认证服务,负责进行身份验证和管理身份令牌(JWT)。
对于登录并开始从不同服务消耗资源的用户,一切都运作得非常完美。
现在的问题是如何验证和授权由其他服务发起的请求(没有特定用户的上下文)?
1. 我们应该为每个服务生成一个专用用户,并像系统中的任何其他用户一样进行处理(具有适当的权限)吗? 2. 我们应该在服务之间部署“硬编码”/动态令牌吗? 3. 还有其他想法吗?
我们最担心的是这些令牌/密码在某个时候会被泄露,因为一个服务向另一个服务的请求被视为高级别权限。
干杯,
我们的微服务架构SaaS有一个专门的认证服务,负责进行身份验证和管理身份令牌(JWT)。
对于登录并开始从不同服务消耗资源的用户,一切都运作得非常完美。
现在的问题是如何验证和授权由其他服务发起的请求(没有特定用户的上下文)?
1. 我们应该为每个服务生成一个专用用户,并像系统中的任何其他用户一样进行处理(具有适当的权限)吗? 2. 我们应该在服务之间部署“硬编码”/动态令牌吗? 3. 还有其他想法吗?
我们最担心的是这些令牌/密码在某个时候会被泄露,因为一个服务向另一个服务的请求被视为高级别权限。
干杯,