微服务架构中的网关只做鉴权而不做JWT解析用户信息,鉴权通过由调用的微服务来做JWT解析拿到用户信息,为什么不可以让网关做鉴权并解析用户信息后发送给各个微服务?

5.2 结合RSA的鉴权
流程图:

图片说明

我们首先利用RSA生成公钥和私钥。私钥保存在授权中心,公钥保存在Zuul和各个微服务
1. 用户请求登录
1. 授权中心校验,通过后用私钥对JWT进行签名加密
1. 返回JWT给用户
1. 用户携带JWT访问
1. Zuul直接通过公钥解密JWT,进行验证,验证通过则放行
1. 请求到达微服务,微服务直接用公钥解析JWT,获取用户信息,无需访问授权中心

1个回答

没什么不可以的,只是很多方式都能实现,通用的解决方案是图上的那种,可以支持多网关.
如果不考虑拓展,鉴权中心可以集中在网关中,但是落了下乘了,应用拓展能力很重要!
很多时候,鉴权中心其实支持多端应用的,比如你的两个应用可以单点登录,那你两个应用都可以访问鉴权中心(可集群),如果把鉴权中心集中在某个网关,网关挂掉了咋办?

qq_39110288
我O型血 是的,网关接收到客户端请求所携带的token后,对该token进行解密和校验,然后将解密出来的用户信息转发给下游微服务。这种方案的优点是实现简单、性能也好,缺点是一旦网关被攻破,或者能越过网关访问微服务就会有安全问题。比如知道微服务的IP地址直接访问就不用经过网关。而网关不再解析token之后,而是单纯的请求做转发,可以在一定程度上解耦业务,并且也更加安全,因为每个微服务不再裸奔而是都需要验证请求中所携带的token。
6 个月之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐