为什么 API 网关和身份验证服务应该不同?

Why should API gateway and authentication service be different?

使用API 网关进行授权有哪些优点和缺点?如果 API 在 header 中拥有具有现有 API 权限的 JWT 令牌,我可以在 API 网关匹配它。在授权服务中匹配它也将包括开销。

您可以使用 API 网关来检查 JWT 令牌,但是您首先需要一些东西来颁发该令牌,这就是授权服务。

如果您提前获得了令牌的 public 密钥,则无需联系授权服务即可验证令牌,这样您就可以验证源自它的 JWT(参见示例 https://jwt.io/)您还需要表示有一些声明,例如必须在过去发布的时间 (iat); expiration (exp) 必须是未来的时间,issuer (iss) 必须是你的身份验证服务,login time (auth_time) 必须是过去的时间,audience (aud) 你的项目的 id,可能还有一些与您的项目相关的自定义声明

如果你拥有所有这些,那么你确实可以在 api 网关

强制执行授权