管理内部多个API的集中式身份验证/授权的最佳方法?
问题描述 投票:0回答:1
我正在尝试出于不同目的创建多个API,我的意思是微服务模式。我有2个API,但将来会增加。
我发现建议将Oauth用于这种微服务模式。但是是我自己的API,也许我对此进行了过度设计。
((下面的示例为示例)我正在考虑创建我的API,将身份验证/授权内容集中在另一个API中,然后从我的API中访问它(认为是CORS策略)。
如果我在SPA 1中,并且想要传递给SPA 2,我可能会检测到一个cookie来询问用户信息,将验证码发送到电子邮件并自动登录。 (最后一部分可以用同一个域Cookie或从两个API提取数据的1个SPA来完成)
我避免使用OAuth和API网关授权,因为我需要自己制造服务器,而且价格昂贵...
这是一个好方法吗?
编辑1:“用户”是一个API,我将在其中管理所有用户配置文件,权限,角色等对其他API的访问。
1个回答
0
投票
投票
您可以在场景中使用JSON Web令牌(JWT)。您可以为每个资源/ API创建JWT并交换它们。
注意:JWT有一个弱点,重用被盗的JWT可能是一个糟糕的情况。您必须将JWT与另一个验证,cookie和SSL结合使用,并保持JWT验证短时间。
最新问题
- Buildozer 认为找不到文件,即使有一个文件
- R 可根据条件向列添加前缀
- 在现有图像上显示圆圈的问题
- 我将我的 javascript 客户端迁移到另一个域,现在对 php api 的跨站点调用不共享相同的 php 会话
- QGIS 表达式生成器使用什么语言?
- 如何避免重复反应式代码?
- Python 在退出前运行 bash 脚本
- 如何制作此类卡片组件
- 将 C++ 嵌套类分离到它们自己的头文件中
- 以特殊格式从 JAR 中提取类名
- 如何“修复‘asm’中未知的寄存器名称‘%xmm1’”?
- Excel Countifs 以及对表列的结构化引用
- 用户 phpseclib0.3.1 - sftp get - 当我将本地文件留空时,我没有获得正确的文件内容
- psycopg2.extras.execute_values 插入多行几何数据
- Oracle/SQL PLUS:如何假脱机日志并在整个脚本中间歇性写入
- 使用 OdiSqlUnload 为 csv 文件生成标头
- android TUS上传文件到服务器
- 如何使用 Pandera 验证嵌套的 Spark DataFrame?
- 从 postgres 中的大表中删除大列
- 具有形状绘制和编辑功能的自定义图片框
© www.soinside.com 2019 - 2024. All rights reserved.