系统到系统集成和令牌验证
System to system integration and token validation
我们正在尝试设置一个基于 NodeJS 的预定作业,它将通过 API 网关调用 API。 API 调用另一个 API。不涉及用户或浏览器。调用必须经过身份验证并具有来自我们的 IdP 的有效 OAuth 令牌。拥有更安全的方法应该如何?
流程应该是什么样的? API 网关或第二个 API 应该验证令牌的哪一个?或两者?谢谢
关键是 JWT 访问令牌验证旨在扩展。在旧架构中,通常使用边界安全(例如 API 网关验证令牌),但不再推荐这样做。
而是使用库验证每个 API 中的 JWT。这是一些 example code and for other technologies see Curity API Guides.
如果您对 API 安全趋势感兴趣,可以阅读以下几篇相关文章:
最后,this article 讨论了 JWT 通常可以在微服务之间转发,以保持代码简单。
我们正在尝试设置一个基于 NodeJS 的预定作业,它将通过 API 网关调用 API。 API 调用另一个 API。不涉及用户或浏览器。调用必须经过身份验证并具有来自我们的 IdP 的有效 OAuth 令牌。拥有更安全的方法应该如何?
流程应该是什么样的? API 网关或第二个 API 应该验证令牌的哪一个?或两者?谢谢
关键是 JWT 访问令牌验证旨在扩展。在旧架构中,通常使用边界安全(例如 API 网关验证令牌),但不再推荐这样做。
而是使用库验证每个 API 中的 JWT。这是一些 example code and for other technologies see Curity API Guides.
如果您对 API 安全趋势感兴趣,可以阅读以下几篇相关文章:
最后,this article 讨论了 JWT 通常可以在微服务之间转发,以保持代码简单。