我发现一篇有趣的文章有这样的插图:
它说:
API Gateway verifies access token for all incoming requests via introspection
但这是什么意思呢?
它表示网关前往授权服务器并验证 token (JWT)。 为什么需要这个?
如果网关有授权服务器的公钥,它可以像每个后端服务一样使用签名检查 token 有效性,为什么需要内省(introspection)以及如何完成?
最佳答案
根据您的身份提供商,这两种方式都可以完成,但需要权衡。
如果您在本地验证 token ,那么它可以使用公钥来执行此操作,这是非常有效的方法,但缺点是,如果 token 或签名 key 被撤销,那么您的 token 仍然有效。使用远程检查,您必须承担 http 开销,但这更可靠。
通常, token 的生命周期很短,并在本地进行验证。但是,如果您的访问 token 生命周期很长,您的应用程序需要严格的访问控制或库不支持本地验证,那么最好远程检查它们
关于api - API网关如何通过内省(introspection)验证访问 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60168622/