我为Web和移动设备开发了一个跨平台的应用程序。
Web 部件由 node.js/express 应用程序提供,并具有基于 passport.js 的用户身份验证,使用本地注册、Facebook 和 Google 身份验证。它部分是使用Jade渲染的服务器端,但甚至使用Angular来请求从API请求的动态内容。
移动客户端是使用 Ionic2/(Angular2( 开发的,通过调用节点.js服务器来验证用户,使用护照 JWT 策略。
客户端、Web 和移动设备都使用 AWS API Gateaway 和多个 Lambda 微服务设置的 REST API,使用 DynamoDB、Elaticsearch 等。
实际上,我正在努力解决API安全性问题。需要用户身份验证/成员资格的端点可以使用现有的身份验证策略由 JWT 令牌处理。但是大约 90% 的 API 正在提供不需要身份验证的数据。
这些现在对世界开放,因为我没有找到保护它们的好策略。我的目标是确保只有移动和 Web 应用的用户才能访问这些端点。
我怎么能把它拱起来呢?如果有人能给我一个关于最佳方法的提示,那就太好了。
谢谢!
虽然你说这些服务不需要身份验证,但在我看来,你实际上需要身份验证。由于您要求提供请求者的身份证明,即使该身份是"只有移动和 Web 应用程序的用户才能访问"中的要求,您也在谈论身份验证。因此,您可能也只想将这些端点使用 JWT。
您可能还希望授权您的用户,就像决定应允许特定标识执行的操作一样。这样,您可以允许所有经过身份验证的用户访问所有终端节点,但只有显示成员身份证明的用户(在 JWT 中(才能访问受保护的终端节点。