Azure mantık uygulamalarında JWT jetonlarının işlenmesi, güvenlik ve verimliliği sağlamak için en iyi uygulamaları içerir. İşte bazı önemli hususlar:
1. Güvenli İmzalama Sırları: JWT imzalamanızı asla ortaya çıkarmayın. Meydan okursa, saldırganların jetonlar oluşturmasına izin verebilir ve bu da yetkisiz erişime yol açar [1].
2. HTTPS kullanın: JWT'leri her zaman HTTPS üzerinden kesip yakalanmasını önlemek için iletin. Bu, şanzıman sırasında belirteçlerin maruz kalmamasını sağlar [1].
3. Uygun son kullanma sürelerini belirleyin: Jetonlar, kötüye kullanım için fırsat penceresini sınırlamak için makul bir son kullanma süresine sahip olmalıdır. Bu, bir jeton tehlikeye atılırsa uzun süreli yetkisiz erişimi önlemeye yardımcı olur [1].
4. JWT'leri doğru doğrulayın: JWT'lerin varlığını ve geçerliliğini uygulamak için API yönetiminde JWT erişim kısıtlama politikasını doğrula gibi politikalar kullanın. Bu politika, jetonların amaçlandığı gibi kullanıldığından emin olmak için izleyici gibi iddiaları kontrol edebilir [3].
5. Token türlerini farklılaştır: Müşterilerin, erişim belirteçleri ve kimlik jetonları arasında farklılaşmayı amaçladığı gibi jetonları kullandığından emin olun. Bu, jetondaki kapsam veya kitle talebinin kontrol edilmesiyle elde edilebilir [2].
6. Anahtar Döndürme Uygula: İmzalama anahtarlarını güvenli bir şekilde yönetmek ve döndürmek için bir JSON Web Anahtar Seti (JWKS) uç noktası kullanın. Bu, entegrasyonları bozmadan kolay anahtar güncellemelere izin verir [2].
7. Jetonları güvenli bir şekilde geçin: JWT'leri iş akışlarından geçirirken, jetonun kendisini açığa çıkarmadan yetkilendirmeyi korumak için tam jeton yerine iddiaları geçmeyi düşünün [4].
8. Mantık Uygulamalarında Kimlik Doğrulama Yapılandır: İş akışlarını tetiklemek için geçerli bir JWT gerektirecek şekilde mantık uygulamalarındaki kimlik doğrulama seçeneğini kullanın. İhraççının ve kitlenin, beklenen kimlik sağlayıcısına karşı belirteçleri doğrulamak için doğru bir şekilde yapılandırıldığından emin olun [5].
Alıntılar:
[1] https://www.restack.io/p/tokenizasyon-asure-logic-apps-wswer-cat-ai
[2] https://varity.io/resources/learn/jwt-best-practices/
[3] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-ecure-your-logic-app-using-api-mangement-8211-validate-jwt-acces-rest/336802
[4] https://stackoverflow.com/questions/33231560/azure-logic-app-passing-jwt-token
[5] https://autosysops.com/blog/parse-jwt-tokens-s-azure-logic-apps
[6] https://learn.microsoft.com/en-us/aspnet/core/security/authentication/configure-jwt-searer-authentication?view=aspnetcore-9.0
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-sacuring-a-gic-app
[8] https://blog.logrock.com/jwt-authentication-best-practicices/