@DKN: To niesie ze sobą bardzo spory problem, API Gateway, który powinien odpowiadać jedynie za routing, nagle musi wiedzieć kto może obsłużyć konkretne żądania. Jeżeli te uprawnienia da się rozwiązać na poziomie endpointów - luzik, da się zrobić. Co jeżeli, będziesz musiał rozróżniać uprawnienia na poziomie konkretnych encji? Np. wniosek urlopowy zatwierdza manager, ale tylko w odniesieniu do swoich podwładnych? Będziesz sprawdzał, czy w jakimś post /requests/1234/acceptance
jest w strukturze organizacyjnej powiązanie pomiędzy autorem wniosku 1234 a managerem odczytanym z JWT?
Możesz to zrobić te w ten sposób, że API Gateway przekieruje idący z zewnątrz JWT, lub go zastąpi czymś własnym (jesteśmy już w wewnętrznych sieciach, możemy sobie w miarę ufać) i w ostateczności serwis docelowy dostaje jakiś nagłówek:
{
userName=Kowalski,
roles:
[EMPLOYEE, MANAGER]
}
Samo sprawdzenie czy JWT jest w porządku dalej przeprowadza się na poziomie ApiGtw, natomiast potwierdzenie uprawnień do zasobu tam gdzie się ten zasób trzyma.