我的问题是有关使用JWT和api网关进行服务到服务的身份验证和授权。如果对刷新令牌有任何不正确的假设,请承担。我使用resttemplate并将HTTP通信委托给Apache HttpClient库。预先感谢。
我在openshift中部署了服务A和B(冲刺启动微服务),它们需要与服务C进行交互。服务C位于Kong Gateway的后面,身份验证基于SSO和身份服务器,身份服务器还提供JWT访问令牌以及刷新令牌。
我的问题是关于从服务A或B到C的身份验证。在A或B中进行身份验证之后,将JWT令牌存储在A或B中的最佳机制是什么?我在考虑缓存或服务A或B或数据库中的缓存。永远保持使用刷新令牌,或者重新进行身份验证并获取新令牌是一种好习惯吗?
Authorisation服务器负责向在每个请求中发送的客户端发行JWT令牌。现在,它的客户有责任存储令牌。因此,理想情况下,您需要服务A和B分别存储它们的令牌,因为它们对于它们而言将是不同的。 Here is more on using authorisation with JWT。