Desarrollo y diseño

Authentication Server: juntos o separados?

Ranthas
Ranthas #1 Feb '20

Pongo en situación a los doctos compañeros de profesión, patos, monos y quienquiera que sea que lea esto.

Pongamos que tenemos varias APIs desarrolladas, cada una de ellas dedicadas a los más retorcidos propósitos que podamos imaginar. Debido a la abyecta naturaleza de estas APIs, sólo podremos consumir sus endpoints mediante autenticación, en este caso, con OAuth2.0 y JWT.

Por tanto, impera el tener que definir un Authentication Server, que se encargará de resolver este problema. Ahora bien, ¿dónde lo ponemos? ¿En un servidor/máquina distinto, o desplegamos en el Resource Server?

Más importante aún; ¿cada Authentication Server debe ir en su propio proyecto, o embebido en el proyecto de la API? Yo siempre he abogado por proyectos separados y despliegues separados, pero los tiranosaurios de la empresa apuestan por todo junto, ya que es más sencillo de mantener/desplegar, en sus palabras.

Mis argumentos sobre seguridad y simplicidad en el despliegue (el auth server lo vas a desplegar una vez nada más ,cojones) no terminan de calar en la facción cretácica de mi empresa, así que recurro a ustedes en busca de opiniones.

wdaoajw
wdaoajw #2 Feb '20

Lo ideal es en una máquina aparte.

Ahora bien, si vais a desplegar onpremise y tenéis máquinas ociosas, se pueden desplegar en la misma máquina (con despliegues separados), sobretodo si vais a desplegar con contenedores que se actualizan fácil.

Entiendo que la BBDD de auth no consumirá apenas recursos

MartiONE
MartiONE #3 Feb '20 El reportero de guerra sonriente

Maquina aparte, siempre. Proyectos separados, con la seguridad no se juega.

Kaledros
Kaledros #4 Feb '20

Máquina aparte siempre. Y proyecto separado también, soy partidario de modularizar todo lo posible (sin hacer el gilipollas, claro) y tiene todo el sentido del mundo tener el server de autentificación en su proyecto y su máquina. Al fin y al cabo es un microservicio más.

1 respuesta
MTX_Anubis
MTX_Anubis #5 Feb '20 :psyduck:

#4 hombre un servidor de autenticación/autorización, de microservicio tiene poco eh? Más bien es un servicio hecho y derecho xD

Me refiero a algo más que un login chustero, vaya que hay empresas que su negocio es eso como Auth0 (que han recibido chorrocientos millones hace poco) como para pensar que es algo pequeño.

9 días después
sasher
sasher #6 Feb '20

En serio merece la pena montar una arquitectura con servidor propio de autenticación si al final solo vas a montar un endpoint para emitir JWTs y validarlos?

1 respuesta
r2d2rigo
r2d2rigo #7 Feb '20 Inocente

#6

Debido a la abyecta naturaleza de estas APIs, sólo podremos consumir sus endpoints mediante autenticación, en este caso, con OAuth2.0 y JWT.

Por lo que dice #1 va a actuar de puente a N APIs de terceros, cada uno con su flujo de autenticacion. Asi que mi opinion es que si.

Usuarios habituales

  • r2d2rigo
  • sasher
  • MTX_Anubis
  • Kaledros
  • MartiONE
  • wdaoajw
  • Ranthas

Tags