使用API网关进行授权有哪些优缺点?如果该API的标头中包含JWT令牌和现有API的权限,则可以在API网关处将其匹配。在授权服务处进行匹配也会包括开销。
www2281100 回答:为什么API网关和身份验证服务应该不同?
您可以使用API网关检查JWT令牌,但首先需要颁发令牌的内容,而这将是授权服务。
如果您事先获得了令牌的公钥,则可以在不联系授权服务的情况下验证令牌,因此您可以验证源自它的JWT(例如,参见https://jwt.io/)。此外,您还希望令牌具有一些声明,例如必须在过去的时间(iat)发布;到期时间(exp),必须是将来的时间;颁发者(iss),必须是您的身份验证服务;登录时间(auth_time)必须是过去的时间;受众(aud)您的项目的ID;可能还有一些与之相关的自定义声明您的项目
如果您拥有所有这些,那么您确实可以在api网关上强制执行授权