Всем привет! Классический подход к авторизации — когда её контроль помещают внутрь конкретного сервиса в виде статических правил. То есть зашивают в код проверку ролей и прав из JWT‑токена. В первых версиях наших сервисов так и было сделано. Позднее родилась идея снять с них эту нагрузку и передать её тонкому прокси‑сервису (SecurityProxy), который DevOps'ы развернут в виде sidecar у защищаемого сервиса. В качестве технологии выбрали GraphQL.
Меня зовут Сергей Котельников, я лид бэкенд-разработки в команде продукта под названием «Мицелий» компании «Дискавери Лабс». Расскажу о том, как мы обеспечивали безопасность готового бизнес‑сервиса без его изменения.
Читать далее