У меня есть служба отдыха, которая хранит комментарии от пользователей в базе данных, моя архитектура имеет угловой фронт, который подключается к серверу балансировки нагрузки (zuul), который подключается к серверу авторизации для генерации jwt.С jwt внешний интерфейс генерирует запросы к тому же серверу zuul с jwt, этот сервер zuul проверяет jwt и, если он действителен, подключится к другой серверной службе для хранения комментария.
Внутренняя служба, где комментарийХранилище не имеет никакой проверки безопасности, все конечные точки доступны, так как маршрут этого микросервиса не будет выставлен?Есть ли какой-нибудь риск по этому поводу?
Поскольку jwt не достигает «службы комментариев», как я могу получить пользователя, который фактически сделал запрос?Должен ли я реализовать какой-то фильтр на сервере zuul, чтобы получить зарегистрированного пользователя из токена jwt и включить информацию в запрос, который отправляется в службу комментариев-бэкэндов?Если это возможно, какие-либо идеи о том, как это реализовать?
С уважением