API网关集群的安全考虑事项？

Question

1. 客户对入境单点通过API网关对一个RESTful API
2. API网关进行通信通过HTTPS：跟踪和分析，OAuth进行API平台认证
3. 用户API密钥微服务提供用户身份验证和授权，生成经过签名和加密的JWT（JWS，JWE）
4. 其他微服务根据JWT内的声明确定权限
5. 微服务ces使用JWT在消息和其他信息中通过PUB/SUB进行内部通信。每个微服务可以通过多个实例（具有负载均衡器的集群）进行扩展。

问题：我可以在群集的API网关，并在它前面的负载平衡器。在管理身份验证方面我需要考虑什么？即：跨API网关群集共享API密钥？

额外的笔记，我打算终止在网关的SSL和使用bcrypt在数据库中的密码。

任何反馈将是伟大的，谢谢。

Answer 1

我可以群集API网关，并使负载平衡器在它的前面 。

是的，你可以。大多数良好的Api网关解决方案将提供进行群集的能力。例如https://getkong.org/docs/0.9.x/clustering/或者您可以使用基于云的Api网关：Azure API管理或AWS API网关

我需要考虑如何管理身份验证？

这些细节取决于您选择的API网关解决方案。