春のセキュリティ

Question

私のアプリケーションの設計は、以下のようなものです：

ブラウザ---

---> RESTマイクロサービスを呼び出します---- ---->ウェブMicroServiceを呼び出します

RESTクライアント - コール - > RESTマイクロサービス。

私は、ユーザー/セッション/クライアントを認証し、下線microservicesでユーザーに関する情報を再利用するためのアプリケーションのエントリポイントとして春のセキュリティを使用していました。私はそれのためのセキュリティサービスを持っていると思っていた。

ブラウザ - >セキュリティサービス ---->ウェブMicroService ----> RESTのmicroService

RESTクライアント---->セキュリティサービス ----> RESTサービス。

質問：

1. セキュリティサービスは他のサービスに利用者に関する必要な情報を渡すだろうか？

2. WebサービスとRESTサービスでSpringセキュリティを統合する必要がある場合、RESTマイクロサービスがWebサービスによって呼び出された場合、または残りのクライアントによって直接呼び出された場合、どのようにトークン検証が機能しますか？

3. 質問2のJWTトークンを生成する際に、クライアントIDと秘密鍵が必要ですか？

注：すべてのサービスは、私はこれを正しく理解していれば、あなたが認証を処理し、残りのサービスにトラフを呼び出すプロキシとしてのセキュリティサービスを見るアクセス、同じデータベース

Answer 1

を持っているでしょうか？すべての要求がセキュリティサービスを通過するようにRESTサービスへのネットワークアクセスを制限しないでください。取得した値を信頼できるので、セキュリティサービスによってRESTに送信されるユーザー名とその他の情報の通常のパラメータを作成できます。それ以外の場合、認証を処理し、他のサービスを呼び出すために使用されるJWTトークンを返す別のレストサービスを持つことができます。