Быстрая межсервисная аутентификация

Взаимодействие между сервисами в больших компаниях традиционно контролируется межпроектными файерволами. Но такой подход недостаточно гибкий и плохо работает в условиях развития облачных технологий. Кроме того, межпроектные файерволы не позволяют добиться нужной гранулярности при разграничении доступов, не защищают от SSRF (Server-Side Request Forgery), создают сложности в управлении и в целом рассматриваются как устаревшая технология. В Яндексе межсервисная аутентификация и разграничение доступов перенесены на уровень приложений — существует сервис TVM (Ticket Vending Machine), основанный на протоколе two-legged OAuth. Евгений и Игорь поделятся опытом построения таких систем и рассмотрят плюсы и минусы альтернативных подходов к межсервисной аутентификации.