Безопасность с помощью микросервисов, Spring boot ⇐ JAVA

[Anonymous]

Надеюсь, у вас все хорошо. Я изучаю микросервисы с помощью Spring Boot и в настоящее время изучаю безопасность микросервисов с помощью токенов JWT.
У меня есть служба авторизации (которая занимается созданием пользователей, входом в систему и регистрацией). и т. д.), основной сервис (который содержит некоторую бизнес-логику) и шлюз API. Насколько я понимаю, нам следует использовать шлюз API, чтобы проверить, существует ли токен и действителен ли он.
Однако у меня есть несколько вопросов:
Как я могу получить аутентифицированного пользователя в основном сервисе? В монолитном приложении я бы сохранил его в SecurityContextHolder в фильтре «один на запрос».
Что делать, если в основной службе есть конечная точка, которую необходимо защитить не только с помощью действительного JWT (который В настоящее время я проверяю шлюз API), а также роли, которые имеет аутентифицированный пользователь?
Как лучше всего это реализовать? Должен ли я добавить в основной сервис (а в будущем и во все остальные сервисы) фильтр «один на запрос», чтобы вызывать сервис авторизации, проверять JWT и получать от него информацию о пользователе? Хорошая ли идея вызывать службу авторизации для каждого запроса?
Кроме того, для обеспечения безопасности на основе ролей мне также следует настроить защищенные конечные точки для каждой службы?

Подробнее здесь: https://stackoverflow.com/questions/790 ... pring-boot