云网站服务器_国内数据云存储_移动云数据库服务器主机-搜集站云

香港服务器_lol连不上服务器_试用

小七 141 0

安全可信认证

如我们所知,当我们需要针对任何不受支持的(BOE)认证系统进行认证时,使用可信认证(TA)。也就是说,通过可信身份验证,我们将责任从中央管理服务器(CMS)推迟到建立信任的另一个系统。通常,TA是在CMS和应用程序web服务器之间为Launchpad、中央管理控制台或OpenDocument等应用程序设置的。它也可以为restfulapi设置。BOE SDK中也提供了可信的身份验证API,这意味着也可以使用这种类型的身份验证编写自定义应用程序。

但是,重要的是要注意一些安全问题,并在启用TA时相应地设置环境。在为TA设置web服务器时,我们需要在web应用程序中进行某些配置。尤其是检索用户名的方法-可信的.auth.user.检索。允许的值是远程用户、HTTP标头、COOKIE、查询字符串、WEB会话、用户主体。现在,最常用的是HTTP\u头和QUERYSTRING。这意味着,大淘客,应用程序代码(例如,在Launchpad或CMC中)将根据此设置读取用户名。应用程序将只在头或querystring上查找这个用户名,这将是共同配置的。应用程序将无法知道此请求源的真实性。一、 换言之,如果TA设置不正确,则存在模拟的可能性。TA被许多客户很好地使用。因此,大数据时代的特点,即使是在概念层面上,考虑到使用TA时的最佳实践也是值得的。

考虑以下场景:

在需要TA的典型场景中,最终用户将首先登录到一个门户应用程序或自定义应用程序。这个应用程序将有到英国央行的链接。因此,如果用户现在点击这些将用户带到京东方的链接,大数据公司,京东方将需要对用户进行身份验证(使用TA)。

如果用户可以直接访问京东方服务器,则可能会造成漏洞。

在上述情况下,BOE web服务器无法知道它在queryString(或header)上得到的是不是来自合法用户的请求。这是一个不正确的和潜在的不安全的景观配置。

对于一个正确的配置,云服务器服务,方法之一是不允许最终用户直接访问京东方网站服务器,尤其是登录-即。,我们应该阻止直接到BOE的登录url(至少)。

使用代理配置阻止直接访问:

代理必须设置为不接受对BOE服务器的直接请求。只有通过门户/自定义应用程序发出的请求(用于登录)才允许访问BOE。

对于上述情况,代理中需要配置,这通常是网络/IT管理员的工作。

使用x509证书:

可以为基于x509的可信身份验证配置BOE web应用程序。

这更安全,因为登录请求的源现在将携带x509证书,因此被视为合法的。但是,在许多情况下,并不是每个最终用户都有一个x509(因为这取决于企业的身份验证策略)。然而,至少在访问CMC时应该考虑到这一点。由于CMC是一个管理应用程序,因此不会有太多管理员或委派的管理员。企业有可能向所有BOE管理员提供x509证书。这将使TA设置在很大程度上安全。如果我们可以依赖x509s,则不需要代理或任何此类配置。

在BOE上可以使用一个附加设置,它可以是使用TA时的另一个安全层。如果允许我们在登录请求中注入x509,BOE可以对此进行验证。一、 例如,自定义/门户应用程序或代理/网关(在SAP环境中)可以插入或注入特定的x509,该x509也已在BOE注册。然后,云服务器价格比较,BOE将只允许这些登录请求通过。这样就不需要每个最终用户都拥有x509。