Ещё есть вариант с общим сервисом авторизации. Он выписывает что-то вроде сертификата для аутентификации в других микросервисах. Они в свою очередь используют первый для проверки валидности сертификата в запросах пришедших напрямую без дополнительного проксирования

В этом как раз для меня кроется двойная работа, то есть надо делать api в главном бэкенде, там же реализовать логику на передачу данных во внутренний сервис, обработку ответа от внутреннего сервиса, и естественно добавить api во внутреннем сервисе

Скажите, а есть какой то паттерн или протокол через которое можно такое сделать или самому надо все реализовать?

Надо просто написать этот api gateway так, чтобы брать соответствие пути-сервиса из источника данных. Дописывать ничего не надо будет. Вы описываете конкретный путь чтоль каждый раз?

не могу припомнить готовых реализаций, но сам паттерн довольно простой
Есть три агента: А - клиент, В - сервис авторизации, Сх - группа микросервисов (С1, С2, С3 …)
1. А login/pass (или что угодно другое идентифицируещее клиента) -> B
2. B certificate (например JWT подписанный ключом B и в теле содержащий условные идетификаторы микросервисов к которым есть доступ, например там только C1 и C3) -> A
3. A request + certificate -> C1, C2, C3
4. C1,2,3 certificate -> B для проверки валидности подписи
5. B -> C1 ok
6. B -> C2 fail
7. B -> C3 ok
8. ответы от Cx уходят клиенту

а вы уверены, что все эти сервисы можно выставлять потребителям на фронт?

Когда у системы единая точка входа, вы оставляете за собой право менять кишки как вздумается. Если клиент ходит в десять мест, вы связываете себя этим

со сменой бекенда придется обновлять фронт

Я бы поискал какой-то готовый api gateway со встроенной авторизацией на основе правил вместо самописного сервиса, а дальше просто ямлы ему подкидывать

плюсую, да и как разграничивать внутреннюю сетку микросервисов и то что на фронт?

Выставлять торчащим наружу как раз не хотелось бы остальные api сервисы

Запутался: "остальные" это какие?

Внутренние апи сервисы)
Сейчас есть главный апи бэкенда куда ходят клиенты, в его апишках делаем запросы во внутренние апишки

Хорошо, поищу)

слышал много положительных отзывов о гидре/кратосе https://www.ory.sh/hydra

может пригодится) правда на гошечке)

Спасиб, гляну)

Ну и посмотри вообще на тему OpenID и OAuth. Там суть простая.

OpenID Connect - это вообще кажется то, что тебе и нужно.

Там новый сервис в самом OIDC-провайдере не кодом впиливаешь, а «регистрируешь» через web-сервис.