Здравствуйте, vsb, Вы писали:
vsb>Предположим, у нас есть некий набор сервисов. Часть этих сервисов принимает и отправляет запросы снаружи, часть этих сервисов работает друг с другом. Всё на уровне HTTP.
... vsb>Есть логичная мысль хотя бы часть этого процесса обеспечения безопасности вынести уровнем выше.
Мысль здравая, но не новая. Вы практически изобрели концепцию API Gateway, у которой уже довольно много реализаций. У гугла, например, это apigee.
vsb>Простой пример — форум. Есть функционал для удаления сообщения, ну например HTTP DELETE /messages/123. Удалять могут админы и пользователи свои сообщения. Информация о том, что сообщение пользователя — лежит в базе данных конкретного сервиса. Соответственно не понятно, как подобная безопасность может быть реализована универсально в отрыве от сервиса.
API Gateway потенциально может залезать и в базу сервиса. Ведь это часть логики безопасности.
Логично при этом и базу всего, что относится к security тоже держать отдельную