Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ฉันควรกำหนดค่า HTTPS เพื่อปกป้อง JWT ในแอพ Azure Logic ได้อย่างไร


ฉันควรกำหนดค่า HTTPS เพื่อปกป้อง JWT ในแอพ Azure Logic ได้อย่างไร


ในการกำหนดค่า HTTPS เพื่อปกป้อง JWTS ในแอพ Azure Logic ให้ทำตามขั้นตอนเหล่านี้:

1. ตรวจสอบ HTTPS สำหรับจุดสิ้นสุดของแอพลอจิก: แอพ Azure Logic ควรเข้าถึงได้ผ่าน HTTPS เพื่อปกป้องข้อมูลระหว่างการขนส่งเท่านั้น สิ่งนี้สามารถบังคับใช้โดยใช้นโยบาย Azure เช่น "Deny-LogicApps-Without-Https" เพื่อให้แน่ใจว่าแอพลอจิกทั้งหมดใช้ HTTPS [2]

2. ใช้การจัดการ API เพื่อความปลอดภัยเพิ่มเติม: วาง Azure API Management (APIM) ไว้หน้าแอพตรรกะของคุณ APIM ให้คุณสมบัติความปลอดภัยเพิ่มเติมเช่น OAuth 2.0 และ Azure Active Active Directory (AAD) ซึ่งสามารถใช้เพื่อตรวจสอบ JWTs [1] [4]

3. ตรวจสอบ JWTs ด้วยนโยบายการจัดการ API: ใช้นโยบายการตรวจสอบ JWT ในการจัดการ API เพื่อบังคับใช้การดำรงอยู่และความถูกต้องของ JWT นโยบายนี้สามารถตรวจสอบการเรียกร้องเช่นผู้ชมเพื่อให้แน่ใจว่ามีการดำเนินการตามคำขอที่ได้รับอนุญาตเท่านั้น [1]

4. การส่ง JWT ที่ปลอดภัย: ส่ง JWTS ผ่าน HTTPS เสมอเพื่อป้องกันการโจมตีการดักฟัง สิ่งนี้ทำให้มั่นใจได้ว่า JWT จะถูกส่งอย่างปลอดภัยระหว่างไคลเอนต์และเซิร์ฟเวอร์ [6]

5. จัดเก็บ JWTS อย่างปลอดภัย: จัดเก็บ JWTS อย่างปลอดภัยโดยใช้กลไกเช่นคุกกี้เบราว์เซอร์หรือโซลูชั่นการจัดเก็บที่ปลอดภัยเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต [6]

6. ใช้ใบรับรองไคลเอนต์สำหรับคำขอ HTTPS: หากแอพลอจิกของคุณจำเป็นต้องทำการร้องขอ HTTPS โดยใช้ใบรับรองไคลเอนต์อัปโหลดไฟล์. CRT และ .KEY ของคุณไปยัง Azure Key Vault หรือที่เก็บข้อมูล BLOB ใช้ไฟล์เหล่านี้ในการดำเนินการ HTTP ของแอพลอจิกของคุณเพื่อส่งคำขอ HTTPS อย่างปลอดภัย [5]

โดยทำตามขั้นตอนเหล่านี้คุณสามารถปกป้อง JWTS ในแอพ Azure Logic ได้อย่างมีประสิทธิภาพโดยใช้ HTTPS และมาตรการความปลอดภัยเพิ่มเติม

การอ้างอิง:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-validate-jwt-access-restr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token-mon
[4] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-troperly-secure-your-jwts
[7] https://microsoft.github.io/azure-threat-research-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/