Я буду использовать KONG в качестве шлюза API для своих внутренних API, которые должны быть доступны общественности, например.(web + mobile)
Я прочитал несколько идей, опубликованных здесь, в SO, об аутентификации KONG, но я хотел бы знать, если кто-то реализовал с тем же вариантом использования, что и у меня.
Я думаюиспользования Basic Auth, так как он имеет комбинацию имя пользователя + пароль.Процесс будет:
[POST] /register - регистрирует пользователя в моем приложении.В нем будет событие, которое также отправит администратору KONG комбинацию имени пользователя и пароля с Basic Auth
[POST] /login - Мое приложение проверяет правильность учетных данных и, если этоправильно, отправьте обратно данные пользователя и base64, закодированные из имени пользователя + пароль.Это будет похоже на:
{
"data" : {
"name" : "John Doe",
....
},
"token": "Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l"
}
Мой ВОПРОС: Если я сделаю это, у меня будет соотношение 1: 1 (пользователь: потребитель) для моих пользователей и потребителя API Gateway.Это считается хорошей реализацией или я должен сделать это по-другому?(например, OPENID и т. д.)
Я могу сделать JWT для потребителей, которым не потребуется «пользовательская» аутентификация (например, стороннее приложение), но что для этого варианта использования может быть лучшим?ТИА!