问API网关和后端接口提供方两者怎么做鉴权？？？

问题描述：

目前调用链 ：1.使用方 -> 2.api网关 -> 3.后端接口

通过文档发现 使用方 -> api 网关可以通过分配secretId 和 secretKey 做鉴权

没看到 api网关 -> 后端接口 怎么做鉴权，后端接口不应该全都相信api网关过来的请求吧

是我没找到文档还是没这样的功能 ？知道的大佬指点下