Я разрабатываю веб-приложение и пытаюсь разработать и реализовать архитектуру микросервисов. Я много читал об аутентификации и авторизации, и мне хотелось бы знать, на правильном ли я пути со своим дизайном.
У меня есть шлюз API, который управляет всем потоком связи между внешним приложением и серверные службы. За шлюзом у меня есть два микросервиса, называемые поставщиком удостоверений и микросервисом внешнего интерфейса соответственно. Поставщик удостоверений управляет такими вещами, как вход в систему, регистрация и доставка токенов доступа. Микросервис внешнего интерфейса содержит приложение angular. Таким образом, в обычном потоке пользователь аутентифицируется с помощью поставщика удостоверений, который, в свою очередь, открывает сеанс входа в систему, хранящийся в redis, и возвращает идентификатор сеанса в качестве повара ie. Поставщик удостоверений перенаправляет пользователя на интерфейсную службу, которая проверяет статус входа в систему, хранящийся в redis, и, только если аутентифицирован, возвращает приложение angular.
Итак, я не использую OAuth, потому что думаю, что не Мне это действительно нужно прямо сейчас. Также я не управляю аутентификацией на уровне шлюза. Хороший ли подход - иметь микросервис для входа в систему и redis для хранения сеанса, чтобы все другие микросервисы могли аутентифицировать пользователя при необходимости? Я вижу много примеров реализации аутентификации на уровне шлюза, так что это плохой подход - делегировать микросервис для аутентификации пользователя? Таким образом, шлюз работает только как маршрутизатор. Что вы думаете об этом?