Day 27 Auth

Preface (前言)

Auth 包含 Authentication(認證）以及 Authorization（授權）。
認證： 知道身份
授權： 依照身份給予權限
使用者登入系統，系統知道使用者的身份，依照身份去給予系統功能權限。

Authtication (認證)

OAuth2.0 是
廣泛被使用的授權框架。
Application Implementation:

設定issuer(發起方),舉例：Keycloak。
Public Key （來自發起方，依環境而異）
Private Key（各AP特有）

Authorization (授權)

以JWT來說，兩段式Tokens。
第一段取得的Token 有時效性；
第二段取得的Token 也有時效性；
打API時夾帶特定Header及Value(第二段Token)
第二段Token為Access Token即代表用來存取API所使用的Token。

Hit the point - 與API Gateway 的關係

通過認證授權後才經API Gateway 打到API。