Token validate

• Token validate
  • Зачем
  • Паттерны
  • Технологии

Зачем

При аутентификация для обеспечения информационной безопасности.

Паттерны

Варианты Access token:

• identifier-based or opaque access token - /token/introspect return active status token
  • плюсы
    • быстро можно заблокировать доступ по времени истечения\не действительности
  • минусы
    • доп-е запросы, нагрузка на IAM
    • риски масштабирования при нагрузке
• self-contained (jwt format only) - проверка подписи через JWKS endpoint IAM и затем параметров токена
  • плюсы
    • простота масштабирование под рост нагрузки
  • минусы
    • блокировка возможна только по истечении exp токена

Процесс валидации

Технологии

API Gateway validate token:

• NGINX Example
• Citrix
• KrakenD
• Kong после успешной валидации токен передается в приложение