Aby bezpiecznie przechowywać klucze JWT w aplikacjach logicznych Azure, możesz wykorzystać kilka strategii, które zwiększają bezpieczeństwo i zgodność:
1. Use Managed Identity (MI) for Authentication
- Dlaczego jest bezpieczny: zarządzana tożsamość eliminuje potrzebę ręcznego przechowywania kluczy lub tajemnic połączeń i tajemnic. Wykorzystuje Azure Active Directory (AAD) do bezpiecznego dostępu, upraszczając procesy uwierzytelniania i autoryzacji.- Jak zaimplementować: Włącz tożsamość zarządzaną systemową dla swojej aplikacji logicznej. Umożliwia to uwierzytelnianie aplikacji logicznej za pomocą usług Azure, takich jak Azure Key Vault bez bezpośredniego obsługi kluczy [1] [9].
2. Integracja Klucza Azure Key
- Dlaczego jest bezpieczny: Azure Key Vault bezpiecznie przechowuje i zarządza poufnymi danymi, w tym klawiszami kryptograficznymi. Klawisze można tworzyć i używać w Key Vault bez ujawnienia klucza prywatnego.- Jak wdrożyć:
- Utwórz klucz w sklepieniu z klawiszem platformy Azure za pomocą Azure CLI lub portalu.
- Użyj interfejsu Azure Key Vault Rest API, aby uzyskać dostęp do kluczy z aplikacji logicznej. Wymaga to skonfigurowania zasad dostępu w Key Vault, aby umożliwić aplikację logiczną na pobieranie lub korzystanie z kluczy [5] [6].
3. Bezpieczne generowanie i magazyn JWT
- Dlaczego jest bezpieczne: bezpieczne generowanie JWTS polega na użyciu bezpiecznego klucza podpisującego i zapewnienie, że token jest przesyłany przez HTTPS.- Jak wdrożyć:
- Użyj biblioteki takiej jak „JsonWebtoken” w Node.js, aby generować JWTS z bezpiecznym tajnym kluczem.
- Upewnij się, że tajemnica podpisywania jest bezpiecznie przechowywana, najlepiej w sklepieniu kluczy Azure.
- Zawsze transmituj JWT przez HTTPS, aby zapobiec przechwytywaniu [3] [5].
4. Najlepsze praktyki do obsługi JWT
- Ustaw odpowiednie czasy ważności: Upewnij się, że JWT mają rozsądne czasy ważności, aby ograniczyć niewłaściwe użycie.- Użyj HTTPS: Zawsze transmituj JWT przez HTTPS.
- Keep Signing Secrets Secure: Never expose your JWT signing secret[3].
Wdrażając te strategie, możesz bezpiecznie zarządzać klucze JWT w aplikacjach logicznych Azure przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa i wymagań dotyczących zgodności.
Cytaty:
[1] https://learn.microsoft.com/en-ie/answers/questions/2088117/how-to-get-jwt-token-him-is-geneded-in-vs-code
[2] https://www.descope.com/blog/post/developer-guide-jwt-storage
[3] https://www.restack.io/p/tokenization-azure-logic-apps-answer-cat-ai
[4] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-custom-ap-authentication
[5] https://zure.com/blog/azure-key-vault-sign-and-encrypt-json-web-tokens/
[6] https://stackoverflow.com/questions/57884305/using-azure-key-vault-on-azure-logic-app-api-connection
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[8] https://turbo360.com/blog/logic-app-best-cacticessecure-your-azure-logic-apps
[9] https://gootoguy.blog/2020/12/04/blog-series-powering-p-your-home-fice-lights-part-3-using-logic-apps-to-authorize-and-get-access-token-using-oauth-hue-hue-mote-api/