微服务认证体系结构

我开始编写一些微服务,它们将具有独立的web客户端、集中的身份验证和授权服务以及组织服务。组织服务将跟踪谁属于哪个组织以及该组织支付了什么费用。这将告诉我谁可以访问哪些Web客户端以及每个微服务的哪些部分。我只在单个rails整体中使用devieve开发了身份验证,所以我正在探索如何在多微服务和web客户端生态系统中进行身份验证。我想到了这个:

1. Web客户端向微服务发出请求,但由于请求中缺少发送的会话信息而被拒绝。
2. web客户端向身份验证服务发出登录请求。身份验证向组织服务发出一个请求,以查看用户所属的组织以及所支付的服务。会话信息存储在web客户机中,以便将来在请求中使用。
3. Web客户端向微服务发出请求。微服务根据身份验证服务验证会话信息(来自2),该身份验证服务进而向用户组织和组织服务的组织发出请求。来自身份验证的响应存储在微服务中。如果两组会话信息匹配,则授予对web客户端的响应。
4. Web客户端向微服务发出请求,包括会话信息(来自2)。微服务根据存储的会话信息(从3开始)验证会话信息。如果两组会话信息匹配,则授予对web客户端的响应。

这是正确的认证方式吗?有更好的办法吗?我应该做些小调整吗?

另外,我应该区别对待从web客户端到微服务的身份验证和微服务之间的身份验证吗?