我目前正在创建一个基于微服务架构的新应用程序,身份验证由 Identity Server 4 提供。
经过大量研究并设置了概念证明,我设置了 Identity Server 以保护 API 和 native 应用程序使用 token 成功访问这些服务。
最初,客户端获得了一个用于访问 API 的访问 token ,但我现在已将其切换为使用引用 token 。现在,正题!
我想在这里采用的方法是采用微服务网关,它接收引用 token ,然后将其转换为 JWT,以包含在对下游微服务的任何请求中。在网关中,如何将入站引用 token “交换”为 JWT? Identity Server 中有什么可以在这里提供帮助的吗?或者我是否需要使用自省(introspection)端点,发送引用 token 并检索声明以在网关服务中构造 JWT,以便将 Authorization header 传递给所有下游服务?
如果我可以提供任何进一步的信息来帮助理解架构的目标,请告诉我。
最佳答案
我想我会在这里跟进一些关于我的实现的细节,以防它对任何希望使用引用 token 保护 API 网关以及需要 JWT 的下游服务的人有用。
我已经实现了一个在 API Gateway 中运行的 ASP.Net Core 中间件。中间件在 Identity Server Authentication 中间件之后和 MVC 中间件之前在管道中运行。中间件的目的是获取入站引用 token 并将其与 Identity Server(使用扩展授权)交换,以获得可在调用下游微服务时在 Authorization header 中使用的 JWT。
中间件在 GitHub 上可用也可以作为 NuGet package .有关中间件用例的更多详细信息,请参阅 GitHub 自述文件,GitHub Wiki 中还提供了有关安装和配置中间件的完整详细信息。 .
除了执行访问 token 的引用 token 交换之外,中间件还内置了对缓存的支持,减少了到身份服务器执行 token 交换的往返次数。
如果有人想使用中间件并且对文档未涵盖的安装和配置有疑问,请在 GitHub 存储库中添加一个标记为问题的问题。
关于jwt - JWT 的交换引用 token - 下游微服务授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42332737/