最佳实践微服务授权

您好，我希望澄清正确的方式来处理微服务授权。 我一直在努力研究结构，但还没有找到很多很好的资源。 根据我的理解，有两种可能的流程。

流1-授权服务器在登录时向用户提供令牌。请求的所有其他API服务然后检查令牌。 一旦看到一个令牌，它会请求授权服务器检查它是否有效，并询问它是否有效。

流程2-授权服务器提供令牌。 所有其他服务的API请求都发送到授权服务器，授权服务器再次访问其他API服务并返回所需的数据。

我在这方面的问题是：

哪种流程是最好的标准做法？

在其他API服务中构建用户数据的最佳方式是什么？ 他们是否应该在表格上使用标准的user_id，并且一旦令牌被证明是好的，从Authorization Server请求一个user_id

（流程1） - 是否有任何方法可以跳过API和授权服务器之间的每一次请求。 如为该用户在会话中存储标识或标记，或者这是不好的做法并且不安全？

我知道这是很多问题，但要确保我对结构和流程有坚定的把握。 谢谢你的帮助

链接地址: http://www.djcxy.com/p/22279.html

上一篇: Best Practice Microservice Authorization

下一篇: Is this JWT based authentication method safe?