マイクロサービスにおいて認証の処理方法は2種類ある。
各サービスがユーザを認証する方法
個々のサービスがユーザを認証するという仕組み。 認証が必要となる全てのサービスで、セキュリティを正しく実装することに依存しており、 内部ネットワークに認証を受けていないリクエストが入り込むことを許す懸念がある。
APIゲートウェイに認証させる方法
APIゲートウェイはリクエストを認証してからそれをサービスに転送する。 この場合、正しく実装しなければならない箇所が1つだけに絞り込まれるというメリットがあり、セキュリティ脆弱性が生まれるリスクが下がる。 また、多様な認証メカニズムを処理しなければならないものをAPIゲートウェイだけに絞り込むことができる。