Стоит ли производить валидацию JWT и на каждом микросервисе, если валидация происходит на API Gateway?

Нет, у меня самописный API Gateway.

razer96, тогда вам надо обеспечивать безопасность между ним и бэкэндом

Иван Шумов, Каким образом? Ну если не прибегать к валидации токена на каждом сервисе? По факту на уровне nginx у меня в конфиге идет обработка запросов направленных только с API Gateway, сторонние запросы просто игнорируются.

razer96, если у вас простая система то вы можете пока себе позволить это, но когда система станет распределенной это больше не поможет держать все на уровне. Постарайтесь найти архитектуру AWS API gateway в связке с lambda. Там очень интересно и познавательно. Сейчас у меня нет возможности найти эту информацию.

Иван Шумов, Хорошо, благодарю

Иван Шумов, И все таки я пока останавлюсь на варианте проверки токена на каждом сервисе. Просто насколько я знаю Амазоновские продукты не бесплатны, у нас пока нет возможности брать их продукты, так как проект пилится под стартап. В дальнейшем конечно да, будут патчи, и рефакторинг с использованием более оптимальных технологий.

razer96, я предлагал смотреть на архитектуру, а не на продукт - это раз. Если у вас стартап то вам нужно MVP, что приводит к упрощению взаимодействия. Ну а два это то что AWS хоть и не бесплатен, но имеет Free tier и что касается подобных сервисов то они не дорогие, да и TCO понижается что важно. Плюс из коробки хорошая отказоустойчивость. Если надо то могу даль легкую консультацию) Для стартапа очень важно быстро выйти на рынок же

Иван Шумов, тоже верно