Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Làm thế nào tôi nên định cấu hình HTTPS để bảo vệ JWT trong các ứng dụng logic Azure


Làm thế nào tôi nên định cấu hình HTTPS để bảo vệ JWT trong các ứng dụng logic Azure


Để định cấu hình HTTPS để bảo vệ JWTS trong các ứng dụng logic Azure, hãy làm theo các bước sau:

1. Đảm bảo HTTPS cho các điểm cuối của ứng dụng logic: Các ứng dụng logic Azure chỉ có thể truy cập được trên HTTPS để bảo vệ dữ liệu trong quá trình vận chuyển. Điều này có thể được thực thi bằng các chính sách Azure như "từ chối logicapps-without-https" để đảm bảo tất cả các ứng dụng logic sử dụng HTTPS [2].

2. Sử dụng Quản lý API để bảo mật bổ sung: Đặt Quản lý API Azure (APIM) trước các ứng dụng logic của bạn. APIM cung cấp các tính năng bảo mật bổ sung như xác thực OAuth 2.0 và Azure Active Directory (AAD), có thể được sử dụng để xác nhận JWTS [1] [4].

3. Xác thực JWT với chính sách quản lý API: Sử dụng chính sách JWT xác thực trong quản lý API để thực thi sự tồn tại và tính hợp lệ của JWTS. Chính sách này có thể kiểm tra các khiếu nại như đối tượng để đảm bảo chỉ xử lý các yêu cầu được ủy quyền [1].

4. Truyền JWT an toàn: Luôn truyền JWT qua HTTPS để ngăn chặn các cuộc tấn công nghe lén. Điều này đảm bảo rằng JWT được truyền an toàn giữa máy khách và máy chủ [6].

5.

6. Thực hiện chứng chỉ máy khách cho các yêu cầu HTTPS: Nếu ứng dụng logic của bạn cần thực hiện các yêu cầu HTTPS bằng chứng chỉ máy khách, hãy tải các tệp .CRT và .KEY của bạn lên Azure Key Vault hoặc blob Storage. Sử dụng các tệp này trong các hành động HTTP của ứng dụng logic của bạn để gửi một cách an toàn các yêu cầu HTTPS [5].

Bằng cách làm theo các bước này, bạn có thể bảo vệ JWTs một cách hiệu quả trong các ứng dụng logic Azure bằng cách sử dụng HTTPS và các biện pháp bảo mật bổ sung.

Trích dẫn:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-validate-jwt-access-restr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/Deny-LogicApps-Without-Https.html
.
[4] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-properly-secure-your-jwts
.
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/