call login service -> redirect qua trang login của server mà app đã đăng ký -> sau khi login và cấp quyền thành công -> redirect về API callback của app gửi request 1 đoạn code. Sau đó callback service sẽ gửi 1 post request chứa đoạn code đó tới token endpoint của sever để đổi lấy access token và refresh token
Ở bước 4 (Lấy token từ Google) trong ví dụ của mình có nói rõ hơn về flow này. Khi kết thúc bước 3, Google trả về cho Auth service một authorization code. Tại bước số 4, Auth Service sẽ gửi tiếp 1 request nữa tới Google kèm với authorization code này để lấy access token và refresh token. Việc thêm một step như này làm tăng thêm bảo mật cho hệ thống.
Phần auth này nên để cho gateway xử lí trước khi đi vào service
thật ra cụ thể hơn đối với OAuth2 là
call login service -> redirect qua trang login của server mà app đã đăng ký -> sau khi login và cấp quyền thành công -> redirect về API callback của app gửi request 1 đoạn code. Sau đó callback service sẽ gửi 1 post request chứa đoạn code đó tới token endpoint của sever để đổi lấy access token và refresh token
Cám ơn bạn đã comment.
Ở bước 4 (Lấy token từ Google) trong ví dụ của mình có nói rõ hơn về flow này. Khi kết thúc bước 3, Google trả về cho Auth service một authorization code. Tại bước số 4, Auth Service sẽ gửi tiếp 1 request nữa tới Google kèm với authorization code này để lấy access token và refresh token. Việc thêm một step như này làm tăng thêm bảo mật cho hệ thống.