কোনও এপিআই গেটওয়ের পিছনে মাইক্রোসার্ফেসিকে অ্যাক্সেস টোকেন যাচাই করার দরকার আছে?


10

আমার কাছে একগুচ্ছ মাইক্রোসার্কিস রয়েছে যা কেবলমাত্র একটি এপিআই গেটওয়ের মাধ্যমে বাহ্যিকভাবে অ্যাক্সেসযোগ্য।

আমার এপিআই গেটওয়ে একটি ওআউথ রিসোর্স হিসাবে সেট আপ হয়েছে এবং অনুরোধটি এক বা একাধিক মাইক্রোসার্ভেজে ডাউনস্ট্রিমটি পাস করার আগে টোকেন (চেক স্বাক্ষর ইত্যাদি) যাচাই করে।

যদিও আমার মাইক্রোসার্ফেসিকে স্কোপগুলি এবং দাবিগুলি যাচাই করার জন্য টোকেনের দরকার আছে, টোকনটিও বৈধ করার জন্য এই পরিষেবাটির কি এখন দরকার আছে?

এটি কিছুটা ওভারকিল বলে মনে হচ্ছে তবুও আমি এই দৃশ্য সম্পর্কে অনলাইনে কোনও পরামর্শ পাচ্ছি না।

এপিআই গেটওয়েতে টোকেন যাচাই করা কি যথেষ্ট ভাল? বা এটি আবার বৈধতা দেওয়া ভাল অনুশীলন?


1
অভ্যন্তরীণভাবে গেটওয়ে বাইপাস করার সময় কি এই একই পরিষেবাগুলি অ্যাক্সেসযোগ্য ?
গ্রেগ বার্গার্ট 19

I cannot find any advice online about this scenario.কারণ এটি বিভিন্ন প্রকল্পের উপর নির্ভর করে যা বিভিন্ন প্রকল্পে পরিবর্তিত হয়। সম্ভবত এমএস আর্কিটেকচার বলে দাবি করে বেশিরভাগ উন্নয়নের ক্ষেত্রে, তাদের এটির দরকার নেই। তদুপরি, এই জাতীয় আর্কিটেকচারের মধ্যে একটি লেখক সার্ভার থাকা উচিত যা পরিষেবার পরিবর্তে (এবং অবশ্যই গেটওয়ে অব কোর্সের পরিবর্তে) এটি করবে। প্রমাণীকরণের সার্ভারটি কি এই অনুরোধটি পাস করার অনুমতি দেয় বা না দেয়।
লাইভ

উত্তর:


3

যদি কোনও অভ্যন্তরীণ কল গেটওয়ে বাইপাস করতে পারে তবে প্রতিটি মাইক্রোসার্চিতে টোকেনকে বৈধতা দেয়, বা সমস্ত কলগুলি - অভ্যন্তরীণ এবং বাহ্যিক - গেটওয়ে দিয়ে যেতে বাধ্য করে।

ব্যক্তিগতভাবে আমি অভ্যন্তরীণ কলগুলিতেও বিশ্বাস করব না। গেটওয়ে দিয়ে এমনকি তাদের ফায়ারওয়াল বিধি দ্বারা ট্র্যাফিক সীমিত করার পয়েন্ট পর্যন্ত যেতে দিন। কারা কার সাথে কথা বলছে এবং কেন তা জেনে রাখুন। যদি কোনও ব্যক্তি যদি কখনও আপনার নেটওয়ার্ককে লঙ্ঘন করে তবে এটি আপনার আক্রমণভাগকে সীমাবদ্ধ করতে সহায়তা করে।

এটি ব্যর্থতার একক পয়েন্টটি প্রবর্তন করে তবে লোড ব্যালেন্সিং সার্ভার এবং বিপর্যয়জনিত সমস্যার ক্ষেত্রে ব্যর্থ ওভার সার্ভারের হাত ধরেই এই ঝুঁকি হ্রাস করা যায়।

অন্যদিকে, যদি প্রতিটি পরিষেবা টোকেনকে বৈধতা দেয় এবং যাচাইকরণ প্রক্রিয়া সম্পর্কে যে কোনও কিছু পরিবর্তিত হয় আপনার আপডেট করার জন্য N + 1 পরিষেবা রয়েছে।


"আপনি অভ্যন্তরীণ ট্র্যাফিককেও বিশ্বাস করতে পারবেন না" এই যুক্তিটি শুনেছি। তবে একটি ইন্টারনানেটে (তুলনামূলকভাবে) স্বল্প সংখ্যক ব্যবহারকারীদের কাছে একটি অ্যাপ্লিকেশন প্রকাশ করা একই অ্যাপ্লিকেশনটিকে পাবলিক ইন্টারনেটে প্রকাশ করা অনেক দূরের কান্না। এটি মূলত স্পিকার চুম্বক এবং একটি সাইক্লোট্রনের মধ্যে পার্থক্য হিসাবে একই।
রবার্ট হার্ভে

2
@ রবার্টহারভে: আমার ধারণা আমি "অভ্যন্তরীণ ট্র্যাফিককে বিশ্বাস করি না" এর পক্ষে যে ন্যায়সঙ্গততা শুনেছি তা এতটা বৈধ ট্র্যাফিক নয় কারণ এটি অনুপ্রবেশের ক্ষেত্রে নেটওয়ার্কটি বন্ধ করে দিচ্ছে। বিশেষত যদি আপনার সিস্টেমটি PII, স্বাস্থ্য, আর্থিক বা সংবেদনশীল তথ্য পরিচালনা করে। যদি কেউ এর মধ্যে বিরতি দেয় তবে তারা অন্য কোন বিষয়ে কথা বলতে পারে তার মধ্যে সীমাবদ্ধ।
গ্রেগ বার্গার্ট

যদি কেউ আপনার সিস্টেমে আসে তবে টোকেন বৈধতা আপনার সমস্যার কম হবে। আপনার কোনও নির্ভরযোগ্য নেটওয়ার্কের মধ্যে টোকেনকে বৈধতা দেওয়া উচিত কিনা (এবং বিদেশীদের দ্বারা অ্যাক্সেসযোগ্য নয়) তা আমাদের নির্ভরযোগ্যতার উপর নির্ভর করে এবং যদি আবার কোনওটি বৈধতা না সম্পাদন করে তবে তা নির্ভর করে। উদাহরণস্বরূপ, কর্মক্ষমতা। আপনার যুক্তি ফিরে। আপনি কি কোনও ব্যক্তিগত নেটওয়ার্কে টিএলএস প্রয়োগ করবেন? আপনি কি একে অপরের পাশে চলমান দুটি উপাদানগুলির মধ্যে যোগাযোগকে এনক্রিপ্ট করবেন? সম্ভাব্য উত্তর নির্ভর করে
লাইভ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.