微服务中的认证与授权

我正在开发应用程序使用微服务架构。需要实施安全保障。 所以我计划使用3个服务来实现这一点。 API网关 用户服务 订单服务 步骤1：客户端向API网关发送用户名和密码以获取令牌。API Gateway应该调用Users Service来验证CRED，如果CRED是有效的，API Gateway创建一个令牌并将其发送给客户端。 步骤2：客户端尝试使用令牌访问订单服务（API网关在步骤1中发送了令牌）

null null myApp应用程序不能直接访问用户数据库，所有通信都只能通过用户认证微服务处理。 在过去的一周里，我广泛阅读了关于REST API中的授权/身份验证的内容，但仍然不知道如何为User->myApp和MyApp->User-Authentication微服务构建一个可靠的授权/身份验证系统。 这是我现在想出来的。 null Now, user signs in sending u

我正在尝试设计一个JAAS微服务，它处理多个J2EE应用程序的用户身份验证。目前，我们有多个应用程序，它们根据LDAP进行身份验证，并具有独立的角色系统。现在我一直在设计应用程序和认证后端之间的接口。 通过自定义登录模块：设计一个自定义登录模块，使用我们登录服务中的非安全EJB接口进行身份验证和授权，但我记得读到登录模块不能注入EJB/使用EJB。 这是正确的起点，还是我有其他可能性从我们的应用程

我很难为微服务架构选择一个体面的/安全的身份验证策略。我在这个主题上找到的唯一的SO帖子是这样的：微服务架构中的单点登录 在这里，我的想法是在每个服务（例如身份验证、消息传递、通知、配置文件等）中都有一个对每个用户的唯一引用（从逻辑上讲，然后是他的)，并且如果登录，可以获得当前用户的。 从我的研究中，我看到有两种可能的策略： null

我正在尝试构建一个微服务架构。我已经了解了API网关的一些好处，比如：负载平衡、调用多个微服务并聚合结果、缓存管理等。所以我决定将它包含在我的系统中。 我的问题是，我应该在网关层还是在每个微服务endpoint单独实现授权？例如，在网关上验证用户，并以解密的形式将用户声明传递给每个服务调用的授权逻辑。 在调用每个服务之前授权一些聚合似乎是有意义的，并且节省了处理时间。然而，授权逻辑实际上是单个服务

我们正在尝试找出IPC身份验证和授权的最佳实践。我会解释的。我们有一个基于微服务的体系结构SaaS和一个专门的认证服务。该服务负责执行身份验证和管理身份验证令牌（JWT）。 现在的问题是如何验证和授权由其他服务发起的请求（没有特定用户的上下文）？ 我们是否应该为每个服务生成一个专用用户，并像对待系统中的任何其他用户一样对待它（具有适当的权限）？ 我们是否应该在服务之间部署“硬编码”/动态令牌？ 还