我正在寻找关于认证互连node.js应用程序的"正确方法"的建议。用例是通用的:共享工作任务、同步数据或用于控制/监视通道。数据库有身份验证,但是应用程序本身呢?
入侵者(来自外部或网络上)滥用您的内部连接的风险有多大?会发生吗?
我发现很多集群合作模块,从使用原始套接字到像zeromq,但是这些例子从来没有真正提到安全方面,只是连接到一些ip/端口。但是你怎么做才能确保新加入的员工没有敌意呢?工作人员如何知道它没有被用于邪恶的目的?
我认为云托管的网络比开放的互联网更友好(是吗??),但是,你会做什么呢?我想说的是,内部https总是太多了,但你怎么做才能匹配身份呢?您是否在每个节点上放置一些证书?什么样的?那你怎么检查呢?你什么时候戴上它?
如果我的数据库可以做一个简单的id/pass(纯文本或什么?)那么我的应用程序集群吗?如果是,你如何保护和管理id信息?
一个基本的解决方案可以ssh一些自定义令牌到每个节点,并检查应用程序与一些哈希方案为每个连接节点,但我不知道良好的行业实践,所以你怎么看?
如果您正在使用ZeroMQ或Redis等解决方案,请确保为它们设置密码。
你的流程做什么完全是你的责任。您应该确保您的应用程序没有任何设计缺陷,因此只有您(从服务器端)或经过身份验证的用户可以通过"管道"发送消息(例如,如果您正在设计聊天,请确保只有经过身份验证/注册的用户可以发送消息)。
如果你想在本地网络上获得额外的安全性,你可以使用iptables