Darbs ar JWT žetoniem Azure loģikas lietotnēs ietver vairākas labākās prakses, lai nodrošinātu drošību un efektivitāti. Šeit ir daži galvenie apsvērumi:
1. Droši parakstīšanas noslēpumi: nekad neatstājiet savu JWT parakstīšanas noslēpumu. Ja tas tiek apdraudēts, tas var ļaut uzbrucējiem izveidot žetonus, izraisot neatļautu piekļuvi [1].
2. Izmantojiet HTTPS: vienmēr pārsūtiet JWTS virs HTTP, lai pasargātu tos no pārtveršanas. Tas nodrošina, ka žetoni netiek pakļauti transmisijas laikā [1].
3. Iestatiet atbilstošu derīguma termiņa laiku: žetoniem jābūt saprātīgam termiņa beigām, lai ierobežotu ļaunprātīgas izmantošanas iespēju logu. Tas palīdz novērst ilgstošu neatļautu piekļuvi, ja tiek apdraudēts marķieris [1].
4. Pareizi apstipriniet JWT: izmantojiet tādas politikas kā JWT piekļuves ierobežošanas politikas apstiprināšana API pārvaldībā, lai ieviestu JWTS esamību un derīgumu. Šī politika var pārbaudīt tādas prasības kā auditorija, lai nodrošinātu žetonu izmantošanu, kā paredzēts [3].
5. Diferencēt žetonu veidus: pārliecinieties, ka klienti izmanto žetonus, kā paredzēts, diferencējot piekļuves žetonus un ID žetonus. To var panākt, pārbaudot tvērumu vai auditorijas prasību marķierā [2].
6. Ieviesiet atslēgu rotāciju: droši izmantojiet JSON tīmekļa atslēgu komplektu (JWKS) parametru, lai pārvaldītu un pagrieztu parakstīšanas atslēgas. Tas ļauj ērti atjaunināt, neizjaucot integrāciju [2].
7. Pārejot žetonus droši: pārejot JWT caur darbplūsmām, apsveriet prasību nodošanu, nevis pilnīgu marķieri, lai saglabātu atļauju, nepakļaujot pats marķieri [4].
8. Konfigurējiet autentifikāciju loģiskajās lietotnēs: izmantojiet opciju Autentifikācija loģiskās lietotnēs, lai darbam būtu nepieciešams derīgs JWT. Pārliecinieties, ka emitents un auditorija ir pareizi konfigurēti, lai apstiprinātu žetonus pret paredzamo identitātes nodrošinātāju [5].
Atsauces:
[1] https://www.restack.io/p/tokenation-azure-logic-apps-answer-cat-i
[2] https://curity.io/resources/learn/jwt-best-pracices/
.
[4] https://stackoverflow.com/questions/33231560/azure-logic-app-passing-jwt-token
[5] https://autosysyps.com/blog/parse-jwt-tokens-in-azure-logic-apps
.
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-logic-app
[8] https://blog.logrocket.com/jwt-autenation-best-pracices/