如何在微服务和API网关体系结构中验证和授权不同的配置文件

null null myApp应用程序不能直接访问用户数据库，所有通信都只能通过用户认证微服务处理。 在过去的一周里，我广泛阅读了关于REST API中的授权/身份验证的内容，但仍然不知道如何为User->myApp和MyApp->User-Authentication微服务构建一个可靠的授权/身份验证系统。 这是我现在想出来的。 null Now, user signs in sending u

我正在开发应用程序使用微服务架构。需要实施安全保障。 所以我计划使用3个服务来实现这一点。 API网关 用户服务 订单服务 步骤1：客户端向API网关发送用户名和密码以获取令牌。API Gateway应该调用Users Service来验证CRED，如果CRED是有效的，API Gateway创建一个令牌并将其发送给客户端。 步骤2：客户端尝试使用令牌访问订单服务（API网关在步骤1中发送了令牌）

简而言之，应该在哪里执行输入验证和身份验证验证？在 API 网关和每个微服务中？仅在 API 网关中？仅在每个微服务中？ 也许部分在api网关中，部分在每个网关中？ 谢谢你的回答！

我正在开发具有微服务架构的后端。我对该架构不熟悉，目前我在一个容器中开发了3个微服务（RESTful Web服务，带有Spring Boot）。我想实现OAuth2和JWT Rest Prot和网关。使用授权服务器和资源服务器实现网关是正确的吗？我在架构上做错了什么吗？ 谢谢你的回复

我正在尝试构建一个微服务架构。我已经了解了API网关的一些好处，比如：负载平衡、调用多个微服务并聚合结果、缓存管理等。所以我决定将它包含在我的系统中。 我的问题是，我应该在网关层还是在每个微服务endpoint单独实现授权？例如，在网关上验证用户，并以解密的形式将用户声明传递给每个服务调用的授权逻辑。 在调用每个服务之前授权一些聚合似乎是有意义的，并且节省了处理时间。然而，授权逻辑实际上是单个服务

让我们说，我正在开发博客平台，用户可以注册帐户，支付订阅和创建自己的博客。平台由以下微服务组成： 帐户-服务 auth-service 订阅-服务 博客-服务 API-网关 我正在考虑实现api-gw模式，其中除了api-gw之外的所有微服务都将部署到专用网络中（在那里，它们将能够通过message broker直接以同步或异步方式相互通信），并且它们将只通过api-gw公开可用。 null 我的