Bom pessoal, então para resumir um pouco isso que eu acabei de falar, vamos dar uma olhada nessa pegada aqui. Então a gente tem essas observações. Caso não haja um API Gateway, os micro serviços precisarão da chave pública para verificar a autenticidade do token. O token normalmente possui um tempo de validade quanto maior a validade menos request teremos no alto service quanto maior a validade maior será o tempo que o usuário que venhamos desativar terá acesso ao sistema caso você precisa invalidar um usuário imediatamente seu micro serviço precisar precisará acessar o autoservice a cada request para garantir que aquela requisição é válida. Você também poderá possuir um modelo híbrido, onde somente alguns microserviços façam a validação direto no alto serve se a cada request o que a gente está querendo dizer aqui galera vamos imaginar que esses microserviços aqui tá eles não são tão críticos então se eu der um acesso a de dez minutos de validade para o toque e cancelar o acesso desse usuário durante esses 10 minutos, isso significa que durante os 10 minutos aqui, aquele cara vai poder acessar. E, por acaso, pelo tipo de risco ou pelo tipo de aplicação, a gente não teria um problema tão grave. Então, fazendo isso, eu evito a sobrecarga no servidor de autenticação. Beleza? Agora, vamos imaginar que esse micro serviço e esse micro serviço eles são extremamente críticos tá ou seja eu quero que seu invalidar tá o o token eu não quero que na próxima requisição esse usuário ele possa acessar. Então, não tem mágica, galera. Se isso acontecer, significa que a cada request, esse cara aqui vai ter que bater no servidor de autenticação. Para quê? Para validar se o usuário está válido. Ou seja, para cada vez que o usuário externo mandar uma requisição para esses micro serviços, esses micro serviços vão validar no servidor de autenticação, estando válido ele recebe, como se diz, ele garante que está tudo ok. Qual que é o problema disso? Sobrecarga aqui e maior latência, porque para cada requisição que você vai responder, você vai ter que garantir que você vai acessar, através da rede, um outro sistema para validar essa autenticação. Mas isso também é válido galera porque existem casos que você falou esse usuário está desabilitado desabilita na hora e acabou tá desabilitou na hora e acabou ea única forma de você garante isso tá é batendo a todo momento no servidor de autenticação tá agora se você não precisa desse efeito, desativou na hora e acabou, você pode contar com o tempo de expiração daquele token. Legal? Então você tem essas opções aí que você pode trabalhar e etc. Então assim, galera, autenticação não é um problema simples de ser resolvido. E é importantíssimo você entender os prós e contras está ou seja é desativar a hora tem esse tempo de inspiração trabalhar com a chave pública tá conseguir fazer esses formatos de autenticação tá lembrando que hoje em dia na forma que você autentica de uma forma mais comum tá é utilizando o altio e o open id connect a em conjunto beleza então era isso que eu queria passar nesse momento especificamente sobre autenticação aqui pra vocês então vamos lá