我正在設計一個基于微服務的架構。該架構應支持多個設備訪問 API。
為了保護內部Resource API,我想實作基于JWTs和Refresh Tokens的認證和授權。
我的要求是:
- 防止攻擊者使用 XSS 竊取用戶的令牌
- 防止 CSRF 攻擊
- In-bounds security:即使攻擊者可以向內部Resource API發送請求,如果沒有簽名的JWT,他也無能為力
- 通過單個內部用戶 API管理用戶(身份驗證和權限)
- 代幣可以隨時撤銷
- 通過 TOPT 支持多因素身份驗證
這是我帶來的:
幾個細節:
- JWT 真的很短命(30 秒)
- 該內部API網關將包括轉換的用戶名,密碼和密碼TOPT通過令牌一個新的重繪 端點(登錄)用戶API。
這種架構真的有效嗎?它會安全嗎?非常感謝你!??
uj5u.com熱心網友回復:
令牌實際上比純 cookie 更難從 JavaScript 保護,我們有幾種成熟的方法來保護 JavaScript(如 Secure、HttpOnly、SameSite...)。
我認為您應該通過在移動設備和瀏覽器的任何地方使用相同的技術來保持您的架構不那么復雜。因為這兩種型別都被認為是不安全的公共客戶端。
此外,提示一下,您可以使用 Fiddler 之類的工具來探索現有應用程式如何處理此問題,以捕獲所有移動流量并探索它們如何處理登錄、會話和注銷,這對您來說可能會很有趣。
見https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/396307.html