在微服務的架構中，會有多個服務接收來自外部用戶（客戶端）的請求，通常不會直接將服務暴露給外部用戶，而是在中間加一層網關作為外部用戶訪問內部服務的控制點。對于外部用戶訪問的請求，我們通常希望在網關中進行身份驗證，知道用戶是誰，并能定義訪問控制策略。

網關認證鑒權類型

云原生API網關目前支持JWT、OIDC以及自建認證鑒權等方式：

• JWT（JSON Web Tokens）

  JWT（JSON Web Tokens）是一套基于用戶體系對用戶的API（服務）進行授權訪問的機制，滿足用戶個性化安全設置的需求。云原生API網關對外開放的API需要識別請求者的身份，并據此判斷所請求的資源是否可以返回給請求者。Token就是一種用于身份驗證的機制，基于這種機制，應用不需要在服務端保留用戶的認證信息或者會話信息，可實現無狀態、分布式的Web應用授權，為應用的擴展提供了便利。

  關于云原生API網關JWT認證鑒權的具體操作，請參見配置JWT認證鑒權。

• OIDC（OpenID Connect）

  OIDC（OpenID Connect）是一種安全認證機制，第三方應用連接到身份認證提供商（Identify Provider）獲取用戶信息，并把這些信息以安全可靠的方式返回給第三方應用。OIDC對OAuth2.0協議進行了擴展，通過擴展的ID Token字段，提供用戶基礎身份信息，ID Token使用JWT（JSON Web Token）格式進行封裝，提供自包含性、防篡改機制，可以安全地傳遞給第三方應用程序并容易被驗證。

  關于云原生API網關OIDC認證鑒權的具體操作，請參見配置OIDC認證鑒權。

• 自建認證鑒權

  如果客戶端請求攜帶的憑證信息（即Token）的形式是業務方自定義的格式，則服務端收到請求后，必須額外訪問中心化的鑒權服務來完成鑒權操作。云原生API網關支持自定義鑒權，方便在網關入口處完成鑒權，避免每個后端服務都接入鑒權服務。

  關于云原生API網關自建認證鑒權的具體操作，請參見配置自建認證鑒權。