我正在阅读关于API网关(Kong)的文章,我想把它集成到我的应用程序中。我看到的每个教程都是使用Kong API或通过像Konga这样的仪表板为服务创建消费者。我已经有一个用户注册服务。API网关如何取代它?如何改变用户注册,使Kong知道它?在我所看到的所有例子中,ApiKeys或JWT的秘密都是在Kong中创建的,因此登录如何工作?有谁能告诉我这在实践中是如何工作的吗?
在我看来,Kong不应该取代用户注册表认证服务。然而,它可以帮助你实施认证。
有几个选项可以保护你的API免受未经授权的访问。这些方案包括
key-auth
插件,并不是用来认证用户(指自然人),而是消费者(指其他系统)。jwt
插件,并适用于用户认证。Kong负责验证JWT令牌(通过检查自带令牌的签名和到期时间)。当然,你可以使用自定义的Kong插件或在你的上游服务中做进一步的检查。所以我认为你不应该把Kong看作是用户服务的替代品,而是作为一种补充,帮助你在请求到达上游服务之前就执行安全策略。