我计划实现一个架构,其中:
API 网关与多个服务和 Vue.js 前端应用程序交互。API 网关创建自己的会话,将用户请求链接到存储的令牌。前端使用会话 cookie 与 API 网关通信。身份验证通过 Keycloak 作为 SSO 提供程序处理。目标是让前端不知道实际令牌,同时保持安全性和灵活性。
灵感来源: https: //medium.com/@a.zagarella/microservices-architecture-a-real-business-world-scenario-c77c31a957fb
文章中介绍了Spring Cloud Gateway的使用,但在我的例子中它将是golang上的api网关。
此场景中的身份验证流程示例
访问资源服务器上受保护资源的请求示例:
实施此类设置的最佳做法有哪些?我应该注意哪些潜在陷阱?
这种方法看起来与链接文章中描述的方法类似,但我想获得更多关于如何有效实施它的见解。
请提供以下方面的指导:
如何在 API 网关上安全地存储和管理令牌 前端和 API 网关之间的会话管理的最佳实践 如何处理令牌刷新和过期 我应该牢记的任何安全注意事项 我特别感兴趣的是如何在这个架构中平衡安全性、易用性和可扩展性。
感谢您的专业知识!