Mikroserwis i API gateway

Odpowiedz Nowy wątek
Chory Andrzej
2017-04-07 17:07
Chory Andrzej
0

Witam.

Chciałbym stworzyć aplikacje o podanej niżej architekturze.

Klient wysyła request restowy np. /product/1, request przechodzi przez API GATEWAY który sprawdza
czy klient jest upoważniony do wyciągnięcia tych danych, a następnie API GATEWAY prosi Mikroserwis o te dane,
mikroserwis zwraca je do API Gateway, a API GATEWAY zwraca je do klienta.

W jaki sposób mogę zabezpieczyć mikroserwis, żeby zwracał dane tylko do API Gateway, jednak chciałbym
pominąć oauth i zaimplementować swój własny system autoryzacji.

Głównie chodzi o to, aby ktoś nie pobrał sobie danych, z pominieciem api gateway.

Pozostało 580 znaków

2017-04-07 18:00

Rejestracja: 9 lat temu

Ostatnio: 48 sekund temu

Lokalizacja: Grudziądz/Bydgoszcz

0

a kto ci każe robić oauth? Piszesz system po swojemu i tyle może to być sesja oparta o cookie lub token.


It's All About the Game.

Pozostało 580 znaków

Chory Andrzej
2017-04-07 20:48
Chory Andrzej
0

Dziękuje za odpowiedz.
Mam tylko dylemat co taki token powinien zawierac i jak się nim posługiwać..

Cały czas badam temat, jeśli jednak znalazłaby się dobra dusza by mi wyjaśnić
jak to w prostym przykładzie powinno wyglądać, to byłbym wdzięczny.

pozdrawiam

Pozostało 580 znaków

2017-04-07 20:57

Rejestracja: 5 lat temu

Ostatnio: 2 godziny temu

1

mozesz zainteresowac sie JSON Web Token: https://jwt.io/

Pozostało 580 znaków

Chory Andrzej
2017-04-07 21:10
Chory Andrzej
0

Dziękuje, właśnie o tym czytałem.

Nie rozumiem nadal jednej kwesti - Mikroserwis otrzyma token ( np. JWT ) - Na jakiej podstawie i jak
będzie on wiedział że to prawidłowy token, a nie jakiś.. fake?

W jaki sposób on to weryfikuje, bo nie rozumiem tego...

Pozostało 580 znaków

2017-04-07 22:18

Rejestracja: 9 lat temu

Ostatnio: 48 sekund temu

Lokalizacja: Grudziądz/Bydgoszcz

0

przy logowaniu dostajesz token i przesyłasz go zawsze headerze, nie masz możliwości wykrycia czy ktoś się pod to nie podszył. Ogólnie w środku jest zakodowany id usera + odpowiednia sól wszystko szyfrowane kluczem prywatnym trzymanym na serwerze..


It's All About the Game.

Pozostało 580 znaków

2017-04-07 22:55

Rejestracja: 5 lat temu

Ostatnio: 2 godziny temu

0

Spotkalem się tez z rozwiązaniem ze serwisy mają parę kluczy: prywatne i publiczne. Prywatne trzymaja u siebie a publiczne wymieniają z innymi mikroserwisami. Dzieki temu jak serwis wygeneruje token (i zaszyfruje go swoim kluczem prywatnym) to inne mikroserwisy na podstawie klucza publicznego są w stanie stwierdzic czy token jest wygenerowany przez oryginalny serwis i czy np ktos po drodze nie podmienil np id usera

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0