此微服务身份验证/授权体系结构是否有效? [英] Will this Authentication/Authorization Architecture for Microservices work?
本文介绍了此微服务身份验证/授权体系结构是否有效?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我正在设计一个基于微服务的体系结构。架构应支持多个设备访问API。
为了保护内部资源API%s的安全,我希望实现基于JWT和刷新令牌的身份验证和授权。
我的要求是:
- 防止攻击者使用XSS窃取用户令牌
- 防止CSRF攻击
- 边界安全:即使攻击者可以向内部资源API发送请求,没有签名的JWT也无法执行任何操作
- 通过单个内部用户API管理用户(身份验证和权限)
- 可以随时吊销令牌
- 支持TOPT多因素身份验证
这是我附带的:
几个详细信息:
- JWTs非常短暂(30秒)
- 内部API网关将包括一个终结点(登录),用于通过用户API将用户名、密码和TOPT密码转换为新的刷新令牌。
这个架构真的能工作吗?它会安全吗? 非常感谢!😊
推荐答案
令牌实际上比纯Cookie更难从JavaScript中保护,我们有几种成熟的方法来保护它们不受JavaScript的影响(如Secure、HttpOnly、SameSite.)。
我认为您应该通过在移动和浏览器上到处使用相同的技术来降低体系结构的复杂性。因为这两种类型都被认为是不安全的公共客户端。
另外,提示一下,探索现有应用程序如何使用Fiddler之类的工具捕获所有移动流量并了解它们如何处理登录、会话和注销,对您来说可能很有趣。
参见https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios
这篇关于此微服务身份验证/授权体系结构是否有效?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
