在springcloud微服务架构中,用户的授权认证是统一在网关处做校验呢?还是每个微服务都要做校验处理。
看了网上的很多文章,一般都是用户请求时携带登录时生成的token,然后网关服务只对该请求判断有没有携带token,如果没有就提示登录,如果有就放行请求。然后请求的微服务又会获取token,拿到token后提交给认证服务中心做校验是否合法,如果合法就执行操作。
上面的认证流程是不是太多余了。为什么要在每个微服务中都要先去获取token值,然后通过认证中心校验该token?
我的理解:
在微服务架构中,用户请求一般最先进入到网关服务中,那么为什么不把登录认证和权限校验都放在网关一次做完呢?网关服务拿到token(token通过jwt框架生成,可以保存用户的相关信息)值,然后校验该token,如果合法就继续判断该用户是否有权限操作(可以解析token中用户的uid,然后调用数据库查询是否有该权限),有就直接放行。
这样不简单多了吗?
与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…