我尝试将Oauth2/OpenId Connect实现为基于Java/Spring Cloud的微服务架构.我目前的问题是关于微服务之间的令牌传播或者像RabbitMQ这样的消息代理.
很少有话题谈论这个.我只发现了这个Stackoverflow线程,但我不喜欢提出的答案.
以下是不同的情况:
我的微服务A接收最终用户通过API网关发起并携带有效访问令牌的请求(JWT具有与最终用户相对应的范围/声明:用户名,ID,电子邮件,权限等).这种情况没有问题.微服务具有处理请求的所有信息.
第一个问题:如果微服务A需要调用微服务B会发生什么?
==>如果令牌在到达微服务B之前到期会发生什么?
==>使用此解决方案,与用户相关的所有数据(用户名,ID,权限等)都将丢失.
例如,微服务B中的被调用方法需要用户id才能工作.用户标识值可以设置为查询字符串.如果使用用户访问令牌调用该方法,则微服务B可以验证查询字符串中的用户id值是否等于JWT令牌中的用户id值.如果使用服务访问令牌调用该方法,则微服务B无法验证查询字符串值并且需要信任微服务A.
对于这个cas,我听说过来自OAuth 2 的" 令牌交换 "草案.这个想法非常有趣.它允许微服务A将用户访问令牌转换为另一个具有较少权限的访问令牌,但是为微服务A伪造.不幸的是,这种机制仍处于草案中,并未在许多产品中实现.
第二个问题:如果微服务A向RabbitMQ发送消息并且微服务B收到此消息,会发生什么?
==>再一次,所有与用户相关的数据都将丢失.此外,我们有2个存储库来管理身份验证和授权
你怎么看待这件事 ?还有其他更好的解决方案吗
提前致谢.
authentication authorization oauth openid-connect microservices