微服务的服务间调用到底需不需要鉴权？

内部通信鉴权干嘛？

可鉴可不鉴

如果是暴露的 API ，鉴权还是有意义的。关键就是值不值得的问题。

Internal 的 microservices 之间当然不用鉴权，只在 API Gateway 的入口需要。

我司应该是核心的 RPC 需要鉴权，比如说 IM 消息、交易这些场景

@xiangxiangxiang 这个场景鉴权方案选的是什么？如果是那种带有效期的 token ，怎么能维持住鉴权状态的？

核心系统还是要鉴权一下，给黑客内网横向设道坎

建议鉴权，防止内鬼搞破坏。

走网关啊，我是直接在微服务通过网关去调用其他微服务，这样网关自然鉴权了。

直接注入 @FeignClient("gateway")

然后就可以了

@sbex 不是针对用户或者会话的，相当于是对主调方的一个授权，注册中心集成的能力 应该是

JWT 鉴权

https://redis.com/blog/json-web-tokens-jwt-are-dangerous-for-user-sessions/

直接跳到上面链接 blog 里的 Where can I use it 一节

需不需要看情况。

比如某个系统很核心，比如交易、推送，这种还是鉴权比较好。对黑客攻击、内部人员捣鬼、甚至其他主调方的 bug 都有明显的好处。
比如你们公司很小，人员简单，那么可能也没必要。总之就是看情况，看值不值得搞

如果能内网隔离或者指定 IP 白名单，那么能不鉴权就不鉴权——在基础设施做要比在上层应用做成本更低。如果是公网上裸奔，那还是老老实实做鉴权。以上是仅限安全控制，不涉及业务上鉴权的时候。如果系统架构设计或者业务上，龟腚就是不同服务之间需要认证授权才能调用，那么也得老老实实做鉴权。

看公司多大，如果你是一个大公司，服务多，集群大，需要鉴权的会很多。如果公司小，就那么些服务，不要整这些。

一般不用啊，微服务是内部服务，自己调。又不是对外的。

我这边是实现了一个鉴权 jar 包依赖，所有需要鉴权的服务引入，自动在拦截器中做鉴权，微服务间调用时传递用户 token ，不仅方便鉴权，还能在各个服务中获取用户信息

集群部署走内部 VPN 或虚拟内网没必要鉴权，不然增加额外性能消耗

正规公司只有运维有权限拉取生产环境的登录权限，所以鉴权反而增加链路复杂性，要知道鉴权也要时间不是？