微服务架构中的单点登录

在我的前一份工作中，我们在实施微服务架构时决定采用最佳方案之一，即 #1 添加身份认证服务并通过它授权服务访问。在我们的情况下，这是通过令牌完成的。如果请求带有授权令牌，那么如果它是用户会话与服务的第一个调用，则我们可以使用身份服务验证该令牌。一旦令牌被验证，它就会保存在会话中，因此用户会话中的后续调用无需进行额外的调用。如果需要刷新该会话中的令牌，还可以创建定期作业。
在这种情况下，我们正在使用 OAuth 2.0 端点进行身份验证，并将令牌添加到对我们域的调用的 HTTP 标头中。所有服务都从该域路由，因此我们可以从 HTTP 标头中获取令牌。由于我们都是同一应用程序生态系统的一部分，因此最初的 OAuth 2.0 授权将列出用户将为其帐户授权的应用程序服务。
此方法的另一个补充是，身份服务将提供代理客户端库，该库将添加到 HTTP 请求过滤器链中并处理向服务的授权过程。服务将配置为从身份服务中消耗代理客户端库。由于我们正在使用 Dropwizard，因此该代理将成为 Dropwizard 模块，引导过滤器到正在运行的服务进程中。只要接口没有发生重大变化，这就使得依赖服务可以轻松地消费有补充的客户端侧更新的身份服务更新。
我们的部署架构分布在 AWS 虚拟私有云 (VPC) 和我们自己公司的数据中心之间。OAuth 2.0 认证服务位于公司的数据中心，而所有应用服务都部署到 AWS VPC 上。
希望我们采取的方法对您的决策有所帮助。如果您有其他问题，请告诉我。

Chris Sterling已经解释了标准认证实践并且这很有道理。出于一些实际原因，我想在这里提出另一个想法。

我们实现了认证服务和多个其他微服务，这些微服务依赖于授权服务器来授权资源。在某个时候，由于与认证服务器之间的往返次数过多，我们遇到了性能问题，当微服务的数量增加时，授权服务器的可扩展性也成为了问题。我们稍微改变了架构以避免往返次数过多。

只需使用凭据联系一次授权服务器，它将根据私钥生成令牌。相应的公钥将安装在每个客户端（微服务服务器）中，客户端可以在不与授权服务器通信的情况下验证认证密钥。密钥包含生成时间和在微服务中已安装的客户端实用程序将进行有效性检查。尽管这不是标准实施方式，但我们在这种模式下取得了相当不错的成功，特别是当所有微服务都在内部托管时。