Azure mantık uygulamalarında JWT'leri korumak için HTTPS'yi yapılandırmak için şu adımları izleyin:
1. Mantık uygulaması için HTTPS'den emin olun Sonlanım noktaları: Azure mantık uygulamalarına yalnızca transitteki verileri korumak için HTTPS üzerinden erişilebilmelidir. Bu, tüm mantık uygulamalarının HTTPS kullanmasını sağlamak için "-logicapps-with-https" gibi Azure politikaları kullanılarak uygulanabilir [2].
2. Ek güvenlik için API yönetimini kullanın: Azure API Yönetimi (APIM) mantık uygulamalarınızın önüne yerleştirin. APIM, JWT'leri doğrulamak için kullanılabilen OAuth 2.0 ve Azure Active Directory (AAD) kimlik doğrulaması gibi ek güvenlik özellikleri sağlar [1] [4].
3. API Yönetimi Politikaları ile JWT'leri doğrulayın: JWT'lerin varlığını ve geçerliliğini uygulamak için API yönetimindeki JWT politikasını kullanın. Bu politika, yalnızca yetkili taleplerin işlenmesini sağlamak için izleyici gibi iddiaları kontrol edebilir [1].
4. Güvenli JWT İletim: gizlice dinleme saldırılarını önlemek için JWT'leri her zaman HTTPS üzerinden iletin. Bu, JWT'nin istemci ve sunucu arasında güvenli bir şekilde iletilmesini sağlar [6].
5. JWT'leri güvenli bir şekilde saklayın: JWT'leri, yetkisiz erişimi önlemek için tarayıcı çerezleri veya güvenli depolama çözümleri gibi mekanizmaları güvenli bir şekilde saklayın [6].
6. HTTPS İstekleri için İstemci Sertifikaları uygulayın: Mantık uygulamanızın istemci sertifikalarını kullanarak HTTPS istekleri yapması gerekiyorsa, .crt ve .Key dosyalarınızı Azure Key Vault veya Blob depolama alanına yükleyin. HTTPS isteklerini güvenli bir şekilde göndermek için mantık uygulamanızın HTTP eylemlerindeki bu dosyaları kullanın [5].
Bu adımları izleyerek, Azure mantık uygulamalarında JWT'leri HTTPS ve ek güvenlik önlemleri kullanarak etkili bir şekilde koruyabilirsiniz.
Alıntılar:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-ecure-your-logic-app-using-api-mangement-8211-validate-jwt-acces-rest/336802
[2] https://www.azadvertizder.net/azpolicyadverterinder/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token-caddesi/
[4] https://turbo360.com/blog/logic-app-best-practicices-secure-your-sure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-ey-files
[6] https://www.softwaresecured.com/post/how-to-properly-secure-your-jwts
[7] https://microsoft.github.io/azure-trehre-research-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/