Мы меняем архитектуру аутентификации нашего приложения, чтобы перейти на Json Web Token.
Фактически, входящие запросы сначала проходят через API-шлюз, который отправляет запросы различным микросервисам нашего стека.
Аутентификация и проверка JWT, переданного в каждом запросе, выполняется в шлюзе.
Что бы вы сделали с JWT после аутентификации?
- Передать "как есть" последующим микросервисам?
- Расшифровать его в шлюзе и передать сервисам только декодированную полезную нагрузку?
Я вижу плюсы и минусы обоих решений:
Pro: мы полностью сохраняем стандартный HTTP-заголовок для аутентификации. Минусы: нам нужно декодировать токен в каждой службе.
Pro: токен уже декодирован и может напрямую использоваться в службах. Минусы: мы должны использовать нестандартный заголовок http для передачи декодированной полезной нагрузки.
Есть ли в этой ситуации какой-нибудь «стандартный» способ?
Каково твое мнение ?
Спасибо !