Gegenseitige Auth zwischen API-Gateway und API-Microservice?

Question

Ich schreibe ein API-Gateway, das einen einzelnen Einstiegspunkt für verschiedene andere APIs bereitstellt, auf die nur über dieses API-Gateway zugegriffen werden kann.

Dieses API-Gateway-Anforderungen von verschiedenen Frontends wie eine Website dienen wird, eine mobile App, eine Desktop-Anwendung, was auch immer ...

Ich möchte in der Lage sein zu überprüfen, ob Anfragen an meinem API-Gateway gekommen sind aus einer dieser Quellen stammen und nicht von jemandem kommen, der eine Curl-Anfrage macht. Zu diesem Zweck habe ich nach einer Möglichkeit gesucht, diese Anfragen zu autorisieren. Ich habe untersucht, wie JWTs implementiert werden, um zu überprüfen, woher diese Anfragen stammen. Dabei müssten die Frontend-Dienste ein Geheimnis mit dem API-Gateway teilen, damit sie Tokens zum Senden erstellen können, die das API-Gateway dann verifizieren kann. Ich schätze das Problem liegt darin, dass diese Geheimnisse in den Frontend-Apps sicher gespeichert werden müssten.

Ich habe mich gefragt, ob es eine bessere Möglichkeit gibt, zu überprüfen, ob Anfragen von denen kommen, von denen ich erwarte, dass sie kommen?

Hat jemand irgendwelche Ideen?

Vielen Dank im Voraus :)

Answer 1

Nun können Sie Ihren eigenen Algorithmus machen, die eine einzigartige Zeit Token abhängigen Zugriff erzeugt. Der Algorithmus sollte sowohl auf dem API-Gateway als auch auf den Frontends implementiert werden.

Der Vorteil der Verwendung von JSON-Webtoken ist, dass JWT ein beliebtes Authentifizierungsprotokoll ist. Open-Source-Bibliotheken für die meisten gängigen Programmiersprachen werden bereitgestellt, sodass Sie keinen eigenen Code schreiben müssen. Die Verwendung einer Standardauthentifizierungsbibliothek erleichtert auch den Zugriff von Drittanbieter-Apps auf Ihre API.