中央のJWT認証/認可サービス

Question

私は中央のJWT認証/認可サービスを設定しています。私たちは、クライアントが通信して認証される必要のある複数のAPIを用意します。

私はJWTサーバーに対して認証するユーザーのログインを考えていました。次に、そのトークンを使用して他のリソースAPIと通信します。これらのAPIは、要求を戻す前にJWTサーバーに対してトークンを検証します。

これは問題に対するかなりまともなアプローチですか？誰もこれのようなものを実装していますか？私がすぐに見ている1つの問題は、JWTサーバーへの多くの通信があることです。

Answer 1

これはまともなアプローチのようです。私は、JWTサービスが私のAPIの一部であったソリューションを実装しました。あなたの質問から分かるように、このJWTサービスを別々に持っていて、ユーザーが同じトークンを使ってさまざまなサービスやアプリケーションとやり取りできるようにしたいとします。これはシングルサインオンと呼ばれます。

JWTサービスが大量のトラフィックを受信して​​いると思われる場合は、追加の負荷を処理するために、より多くのインスタンスをスピンアップすることができます。

サービスがデータベースからトークンを取得していて、すぐにリクエストに応答して計算を実行していない限り、多くのトラフィックの影響を受けることはありません。