bom pessoal no vídeo anterior a gente falou sobre o tempo de inspiração né quanto maior o tempo de inspiração menor a carga no servidor de autenticação mas menor o controle que a gente tem sobre o usuário durante a validade do toque tá o que também é muito comum de acontecer é que às vezes a gente não tem uma API Gateway, ou, às vezes, mesmo tendo uma API Gateway, a gente não quer fazer a validação desse token na API Gateway. A gente pode fazer a autenticação no próprio microserviço. Então, o que isso significa? Significa que essa chave pública aqui, que está na API Gateway, que foi gerada pelo servidor de autenticação, o que pode acontecer? Ela pode ficar disponível em cada microserviço. Ou seja, toda vez que a gente receber uma requisição, essa requisição vai bater no seu microserviço, o seu microserviço vai validar essa chave, vai validar o JWT usando essa chave. Se estiver ok, ele processa a requisição. Se não estiver ok, ele não processa a requisição. Ele fala ali que o cara não está autorizado legal qual é o problema disso aqui é que o seu micro serviço ele vai começar a receber requisições que o cara não tem autenticação por exemplo mas mesmo assim ele vai ter que tratar esse tráfego. Imagina um monte de gente mandando um monte de requisição não autorizada e o que vai acontecer nesse momento? O seu microserviço vai ter que ficar negando essa requisição o tempo todo. Legal? Então, isso aqui, de fato, não é legal. Então, aqui você vai ter que decidir que ou seu micro serviço ele valida realmente né todo JWT para ver se ele é válido ou não ou se ele acredita por padrão que todo JWT que chegar aqui para ele vai ser válido porque em algum momento ele passou aqui pela equipe a equipe tá ou seja você acredita em todos os dados que vão chegar dentro da sua rede interna porque você parte do princípio tá que tudo que chegou aqui é válido por conta que essa validação bateu na equ Gateway. Tem algum problema em acreditar nessa situação? Absolutamente nenhum problema. Principalmente se esses seus microserviços não estiverem expostos pela internet. O que você vai fazer aqui nesse caso para você conseguir garantir isso? O que você vai fazer é o seguinte na hora que você configura esses micro serviços aqui ó eu vou criar mais uma separação Zinho aqui e deixa eu colocar esse background aqui separado vou colocar esse cara aqui é desse jeito e vou tentar jogar esse cara aqui para trás ficou bem mais ou menos tá o que significa que essa tudo que está rodando aqui os nossos micro serviços está nesse caso o servidor de identidade ele tem que estar para fora disso porque o usuário vai ter acesso público nele para fazer o login. Vamos dizer que o servidor de identidade pode estar aqui, ou ele pode estar entre esse microserviço e outro, só para você saber. O que acontece? Isso aqui é uma subnet sem acesso à internet. O que isso significa? Significa que ninguém da internet vai conseguir ter acesso a esses microserviços. Todo mundo vai poder ter acesso a esses microserviços somente se ele bater na ipa e gay tá aí que a gente ela tem acesso à internet ou seja o usuário final bate na ipa e gay mas quando a ipa e gay manda a requisição para os microserviços o que vai acontecer toda essa requisição a gente sabe que a única forma do dado chegar aqui é através da API Gateway. Então, eu não tenho que me preocupar. Então, a forma de você garantir um pouco mais de segurança e não ficar com medo de um usuário externo ficar tentando acessar seu micro serviço é jogar o seu micro serviço numa rede fora da internet ou seja sem ingresso direto né sem internet gateway para que as pessoas consigam acessar tá mas quem tem acesso a esses micro serviços é a sua ipa gateway porque ela consegue falar nessa rede tá ela faz parte de uma outra subnet é essa aqui ó ele faz parte de uma subnet pública mas essa subnet consegue acessar essa subnet aqui então você não vai ficar com medinho no final do dia de que o usuário final consiga bater diretamente no seu micro serviço o seu micro serviço e fica escondido né dentro de uma rede onde você não vai ter mais esse tipo de medo essa abordagem aqui que eu acabei de falar pra vocês é super válida é super comum de ser utilizada e eu não acho na minha opinião que você tem que ficar com medo tá de não colocar autenticação nos seus micro serviços e acreditar aqui aqui em tudo que está chegando. Se você quiser, você pode até validar esse JWT de alguma forma, não tem problema. Mas o que eu estou querendo dizer é que você não precisa, porque se você trabalhou dessa forma como eu coloquei aqui, os seus microserviços estão protegidos e você pode acreditar nas requisições que vem de fora porque você sabe que a única forma delas chegarem aqui é através das passando pela equipe a gateway e acreditando que a equipe a equipe aqui tá ela está validando todas as suas requisições tá então essa abordagem se você quiser fazer uma dupla autenticação ok você pega a chave pública e coloca também nos micro serviços qual é o problema de colocar as chaves públicas nos seus micro serviços o problema é o seguinte vamos imaginar que você tem 200 microserviços, então você vai ter que copiar essa chave pública para esses 200 microserviços. O que acontece? Por algum motivo você mudar essa chave pública, você vai ter que mudar essa chave pública nesses 200 microserviços. Então você vai ter que fazer o redeploy dessas chaves públicas. Então quanto menos esforço você tiver para lidar com autenticação, é melhor. Então, pense sempre nesse approach. Então, no próximo vídeo, eu vou fazer um resumo sobre o que a gente falou, baseado nessas observações que eu acabei de colocar aqui. Bacana? Então, vamos nessa, galera.