**通过反向代理保护不同类型的未安全应用程序**
2018-7-17 10:39:44
收藏:0
阅读:81
评论:2
我目前正在处理还需要完善的一个项目,我对当前正在考虑的解决方案感到不安。
主要的想法是在不修改现有应用程序的情况下保护这些没有自身安全措施的应用程序。这些应用程序在外部不可访问,仅可以通过反向代理(OpenResty)访问。
用户不能访问所有应用程序,用于标识用户的解决方案是 Keycloak。
主要组件是:
- 一个 Angular 门户:入口点。
- 一个重定向用户到所选应用程序的反向代理。
- IAM:Keycloak。
- 所有可用的应用程序。
思路是:
- 用户在 Keycloak 上单击登录,并使用包含他的角色(他可以访问的应用程序)的访问令牌(JWT)返回门户。
- 用户在门户上单击一个应用程序,然后通过反向代理重定向到目标应用程序。
- 反向代理检查令牌的有效性(exp、iss 和角色)
我知道这不是进行某些应用程序之间 SSO 的正确方法,但这里的要求是未保护的应用程序不能被编辑,而必须由一个前台系统(即反向代理)保护
我的问题是:好的,这对于第一个调用将起作用,因为用户在门户上拥有他的 JWT 令牌,并使用它第一次调用该应用程序,但是之后,当用户在此应用程序中单击链接时... 就没有更多令牌了。这种架构对于保护 REST API 很有效,但对于 Web 应用程序来说,对我来说有点不确定。
点赞
用户5662433
一般来说,在登录 Keycloak 前,你会有一个反向代理服务器来处理用户身份验证。
流程大致如下:
- 用户访问门户网站。
- 门户网站通过反向代理将用户重定向到应用程序。
- 反向代理服务器将首先将用户重定向到 Keycloak 进行身份验证,并在浏览器和反向代理服务器之间建立一个安全会话。
- 反向代理服务器将请求转发给你的应用程序服务器。
- 对于所有后续请求,用户始终通过反向代理服务器进行访问。
2018-07-17 15:04:38
评论区的留言会收到邮件通知哦~
作者:
用户10092741
推荐文章
- Lua 虚拟机加密load(string.dump(function)) 后执行失败问题如何解决
- 我想创建一个 Nginx 规则,禁止访问
- 如何将两个不同的lua文件合成一个 东西有点长 大佬请耐心看完 我是小白研究几天了都没搞定
- 如何在roblox studio中1:1导入真实世界的地形?
- 求解,lua_resume的第二次调用继续执行协程问题。
- 【上海普陀区】内向猫网络招募【Skynet游戏框架Lua后端程序员】
- SF爱好求教:如何用lua实现游戏内调用数据库函数实现账号密码注册?
- Lua实现网站后台开发
- LUA错误显式返回,社区常见的规约是怎么样的
- lua5.3下载库失败
- 请问如何实现文本框内容和某个网页搜索框内容连接,并把网页输出来的结果反馈到另外一个文本框上
- lua lanes多线程使用
- 一个kv数据库
- openresty 有没有比较轻量的 docker 镜像
- 想问一下,有大佬用过luacurl吗
- 在Lua执行过程中使用Load函数出现问题
- 为什么 neovim 里没有显示一些特殊字符?
- Lua比较两个表的值(不考虑键的顺序)
- 有个lua简单的项目,外包,有意者加微信 liuheng600456详谈,最好在成都
- 如何在 Visual Studio 2022 中运行 Lua 代码?
尝试使用 github.com/gambol99/keycloak-proxy。它将令牌存储在 cookie 中,这对于 Web 应用程序是更好的选择。
!!! 警告:我猜任何身份验证代理都只能使用 Authorization Code Flow_,但是对于单页应用程序(Angular),_Implicit Flow 是推荐的。这确实取决于你的 Angular 应用程序。首先分析安全性的正反面,以确保安全。