use*_*144 7 security oauth oauth-2.0 openid-connect microservices
有几种方法可以在微服务中构建身份验证.然而,非常流行的是将JWT令牌和OAuth协议与OpenID Connect身份层一起使用.
在本教程中解释如何实现它有一个提示:
当令牌必须离开您的网络时,通过引用传递,然后在它们进入您的空间时将它们转换为按值令牌.在API网关中执行此转换.
然而,我不清楚它背后的原因是什么.我怀疑它可能是由于一些安全性好处(不是让客户可以阅读任何特定信息).因为在JWT令牌本身中它可能是关于角色/权限的信息.但为此目的,也可以加密令牌.
另一个原因可能是JWT令牌太大,并且为了在每次使用这种方法时不携带该令牌.(或者如果JWT令牌存储在cookie中,则它具有大小限制).
我还没有看到任何关于JWT令牌认证被泄露的信息,并且将它保存在客户端(在浏览器中)是一种不好的做法.
另一方面,我看到Ping Identity也在使用传递引用方法.你能帮我理解背后的原因吗?
| 归档时间: |
|
| 查看次数: |
2281 次 |
| 最近记录: |