Saya memiliki banyak layanan microser yang hanya dapat diakses secara eksternal melalui API Gateway.
API Gateway saya diatur sebagai Sumber Daya OAuth dan memvalidasi token (Memeriksa tanda tangan dll.) Sebelum meneruskan permintaan di hilir ke satu atau beberapa layanan microser.
Sementara layanan microser saya memerlukan token untuk memverifikasi cakupan dan klaim, apakah sekarang ada kebutuhan untuk layanan ini untuk memvalidasi token?
Tampaknya agak berlebihan namun saya tidak dapat menemukan saran online tentang skenario ini.
Apakah memvalidasi token di gateway API cukup baik? Atau apakah itu praktik terbaik untuk memvalidasi lagi nanti?
I cannot find any advice online about this scenario.
Karena itu tergantung pada beberapa faktor yang berbeda dari proyek ke proyek. Mungkin di sebagian besar perkembangan di luar sana mengklaim sebagai arsitektur MS, mereka tidak membutuhkannya. Selain itu, dalam arsitektur seperti itu, harus ada server auth yang akan melakukan ini alih-alih layanan (dan bukannya gateway tentu saja). Apakah server auth yang mengizinkan permintaan untuk lulus atau tidak.