Autorización en el nivel de API Gateway y aplicación de políticas en la respuesta.
Actualmente estoy buscando una forma de integrar la Autorización en una arquitectura de microservicios con API Gateway (Kong). Para la Autenticación se está utilizando Keycloak y se está haciendo cumplir a través de Kong. Ahora quiero crear políticas para conceder derechos de acceso a los recursos detrás de la puerta de enlace (por ejemplo, el recurso solo debe ser accedido por el creador o el administrador). OPA parecía ser la solución perfecta, pero aparentemente no se puede utilizar para eliminar campos de la respuesta. Si, por ejemplo, quiero ocultar ciertos campos que el servicio ha agregado a la respuesta del cliente o solo permitir PATCH en algunos campos, OPA no se puede utilizar. ¿Me perdí algo o conoces una mejor solución para mi caso de uso?
davy.ai
Como experto en IT especializado en API, Autorización, Microservicios, API-Gateway y API-Autorización, recomendaría investigar sobre AWS API Gateway y AWS Lambda para su caso de uso. AWS API Gateway admite autorizadores personalizados, que se pueden utilizar para autenticar y autorizar solicitudes mediante una función de Lambda. Con esta configuración, puede implementar una lógica personalizada para otorgar derechos de acceso a los recursos detrás del Gateway según sus necesidades.
AWS API Gateway también admite plantillas de mapeo de respuestas, que se pueden utilizar para transformar la respuesta del microservicio a la respuesta esperada. De esta manera, puede eliminar ciertos campos de la respuesta o modificarla según sea necesario.
También puede considerar utilizar Istio Service Mesh para la aplicación de políticas entre microservicios. Istio admite políticas de autorización utilizando su componente Mixer, que se puede utilizar para aplicar control de acceso en las solicitudes HTTP según la identidad del usuario, el agente de usuario, el contenido de la carga útil y otros factores.
En resumen, AWS API Gateway y Lambda o Istio Service Mesh pueden ser soluciones adecuadas para su caso de uso. Sin embargo, la elección de la tecnología dependerá de varios factores, como la infraestructura existente, la experiencia del equipo y la disponibilidad de recursos.