Dúvida sobre autenticação

[juniordsi]

Em um cenário onde o banco já está definido, para autenticação, e está sendo migrada uma aplicação monolítica para microsserviços. é interessante criar um serviço de autenticação, ao invés de usar o keyclock por exemplo, por conta de regras especídifcas do domínio, e integrar ao API Gateway, usando o Kong?

O cenário seria basicamente o seguinte: a autenticação é um serviço, (login, recuperar senha e recuperar código de acesso, validar token de acesso), que satifaz uma regra de negócio específica. O serviço utiliza tokens JWT. Quando qualquer outro serviço fosse requisitado, este solicitaria a validação do token ao serviço de autenticação e em caso positivo, seguiria.

Existe alguma forma de deixar a validação do token no API Gateway?

[andrebaltieri]

O KeyCloak/Identity Server são servidores de identidade, eles fornecem a implementação do OIDC e vários recursos de federação. Se você precisa destes recursos, a melhor forma é usar algo já pronto... escrever tudo isso na mão daria bastante trabalho ahhahaha

Agora se você quer apenas gerar um Token válido para N APIs ASP.NET usando o esquema dele de Claims, ai uma simples API de autenticação basta.

Em ambos os cenários, você pode especificar no API Gateway onde ele deve validar o Token antes de prosseguir com a requisição.

[juniordsi]

Entendi. Obrigado pela resposta!

[andrebaltieri]

💜