Ранее я работал с авторизацией на основе JWT в образце приложения, поэтому я понимаю основы того, как генерируются токены доступа, как их обновлять и т. Д. Однако теперь я являюсь единственным разработчиком в том, что будет далекоболее сложное коммерческое веб-приложение с реальными пользователями и, следовательно, реальными проблемами безопасности.
Что я не понимаю, так это то, что во многих статьях, которые я нашел в прошлом, упоминается, что клиент отправлял запрос на «Сервер авторизации».msgstr ", что они, по-видимому, подразумевают отдельно от внутреннего сервера приложения.
В моем прошлом опыте работы с JWT в Node / Express я просто интегрировал кодирование JWT в свои пользовательские маршруты и создал некоторое промежуточное программное обеспечение авторизации для проверки подлинности.Все они находятся в том же файловом дереве, что и остальная часть моего приложения Express.Это вызывает беспокойство?
Если по «Серверу авторизации» у меня должен быть полностью отдельный сервер, предназначенный исключительно для авторизации пользователей, это то, что мне нужно предоставить отдельно (мы будем использовать AWS Elastic Beanstalk)) или есть SAAS / PAAS, который обычно используется для генерации токенов авторизации?Имейте в виду, что, хотя это будет реклама, она довольно мелкая (возможно, максимум 1000 пользователей в течение следующих 2-3 лет).