安全：AccessToken

背景

你已经使用了微服务架构 和 API网关。应用包含一定数量的服务。API网关是客户端请求的唯一入口。它认证请求，并转发到其他服务。

问题

如何将请求者的身份沟通给处理请求的服务？

限制

• 服务通常需要验证用户是否可以执行操作

解决方案

API网关认证请求，将安全的标记了每次请求的请求者身份的access token（比如 JSON Web Token）传递给其他服务。服务可以在请求其他服务时带上这个access token。

示例

使用示例和支持的库，可以参考JSON Web Token

结果

这个模式有如下优势：

• 请求者的身份标识安全的在系统中传递
• 服务可以验证请求者是否通过认证，执行某个操作

相关模式

• API网关 使用这个模式