问题描述
我想了解授权嵌套服务调用的最佳实践。该场景是客户端调用某个服务 A 来执行某些操作。然后服务 A 需要代表用户调用另一个服务 B,所以它调用了服务 B。服务 A 然后调用另一个服务 C。我想要的是:
假设我想使用 OpenID Connect 令牌,支持上述 3 项要求的适当流程和令牌内容是什么?
解决方法
好问题和答案与数据领域和 OAuth 范围有关。
访问令牌旨在在微服务之间传递,您不应该(默认情况下)每次 API 相互调用时都需要运行新的 OAuth 流,这会增加复杂性,从而导致多个问题。
相反,每个 API 都应验证 JWT 并检查对该 API 的数据区域有意义的范围和声明。
好的设计应确保以下几点:
- 互联网客户使用的令牌是保密的
- API 使用的令牌可以包含丰富的声明并被转发
有关更多信息,请参阅这两篇文章:
在您的第 3 点上,有一项特权,这取决于场景 - 例如,它可能是您公司的不同细分 - 在这种情况下,不同的令牌可能是有意义的。
不过,大多数动态授权都应使用声明 - 在上述范围文章之后有一篇声明最佳实践文章。