Web アプリ システムをマイクロサービス アーキテクチャにリファクタリングしています。
ユーザーを認証しJWT、いくつかの認証データを保存することにしました。たとえば、トークンのペイロードから、ユーザーが特定のリソースにアクセスできるかどうかを推測できます。
次の 2 つのオプションを検討します。
- 各マイクロサービスは、トークンが有効かどうかを署名サービス (たとえば API ゲートウェイ) に尋ねます。
- すべてのマイクロサービスは公開鍵を保持し、トークン自体を検証します。
公開鍵を管理する場合、ゲートウェイ サービスはどのようにしてその公開鍵を他のすべてのマイクロサービスに公開できるのでしょうか?
システムの設計方法については多くの情報があるようですが、実際にそれらを実装する方法はありません。