服务器端应用程序层的云认证模式
问题描述:
什么是一些服务器端的应用层安全模式用于验证基于角色的会议,特别是在多个虚拟专用网络和公共网络?寻找能够最大限度降低开发人员代码复杂性并减少IT维护的解决方案服务器端应用程序层的云认证模式
问题:需要的是让那些在不同的虚拟私有云,托管服务器端应用程序在一个厂商中立的(非AWS /天青)机制委派一个验证会话。
场景:具有通过身份验证的会话的应用程序(采用JWT格式)需要跨另一个网络调用服务器,委派JWT会话但保持其活动状态而不会使其自己的会话失效。
可能的模式和他们的陷阱:
- 的OAuth:规格有很多流量,其中没有一个是具体实现,这样做是正确的是你。需要一个*身份提供者服务。使用到期令牌会让会话状态管理变得困难。失败点是客户端ID和秘密的泄漏。
- TLS相互客户端证书:需要证书生命周期管理(IT部门的痛苦)以及验证证书的其他代码(痛苦的开发)。对于公共服务器,您需要一个公共证书颁发机构和DNS,这会增加成本和复杂性,正如为dns所要求的证书所假定的那样。故障点泄露私钥和欺诈证书。
相关问题:OAuth 2.0 Many to Many Delegated Client Credential Flow Scenario
答
以确保跨供应商无关的数据中心应用中常见的方法是使用一个撮合的认证模式。代理认证的组件可能包括以下组合:
- 安全令牌服务(STS)验证凭证并生成令牌。
- 用户/密码或应用密钥/ ID和密码。
- KPI(X.509客户端证书)。证书比纯文本秘密和密码安全得多。验证证书可以通过证书颁发机构完成,但它们会引入自己的问题。如果客户端具有预先存在的信任关系,则证书锁定可能是CA的解决方案(https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning)。
看到,Web服务安全性:http://download.microsoft.com/download/8/d/6/8d608524-0763-48b5-840b-0ae446996a14/MS_WSS_Dec_05.pdf
公钥基础设施:https://sites.google.com/a/ssl4net.com/www/technology/public-key-infrastructure