我们在Cloudflare建立了访问以解决一个问题：我们的VPN。我们的团队成员讨厌VPN的缓慢和不便，但这不是我们需要解决的问题。VPN带来的安全风险需要更好的解决方案.VPNs在网络周边打孔。一旦进入，个人就可以访问所有东西。这可以包括关键敏感的内容，如私钥、加密盐和日志文件。Cloudflare是一家安全公司；这种情况是不可接受的。我们需要一个更好的方法，让每个应用程序都能精确地控制谁被允许访问it.访问满足了这一需求。我们从把基于浏览器的应用程序移到Access之后开始。团队成员可以更快地从任何地方连接到应用程序，同时我们提高了整个组织的安全性。然而，我们还没有准备好关闭我们的VPN，因为有些任务可以通过命令行来完成。我们不能在不替换所有用例的情况下结束vpn。从命令行到达服务器需要我们回到VPN。今天，我们发布了一个beta命令行工具来帮助您和我们的团队。在我们开始在Cloudflare使用这个特性之前，卷曲服务器需要我停止，找到我的VPN客户机和凭据，登录并运行curl命令。使用Cloudflare的命令行工具cloudflared和Access，我可以运行$cloudflared Access curlhttps://example.com/apiCloudflare会验证我对服务器的请求。我节省了时间，Cloudflare的安全团队可以控制谁到达该端点（并监视日志）。使用Cloudflare访问保护API要保护具有访问权限的API，您将遵循保护基于浏览器的应用程序的相同步骤。首先添加将API部署到Cloudflare的主机名账户。只是与访问背后的web应用程序一样，您可以为httpapi的不同路径创建粒度策略。Cloudflare Access将根据您配置的设置评估对API的每个权限请求。将API置于访问之后意味着来自任何操作（CLI或其他操作）的请求都将继续由Cloudflare把关。如果需要，可以继续使用API密钥作为安全。够了受保护的APICloudflare访问通过检查有效的JSON Web令牌（JWT）来保护应用程序，无论请求是通过浏览器还是从命令行发出的。当您成功登录到您的身份提供者时，我们将发布并签署JWT。该令牌包含关于您的身份和会话的声明。Cloudflare网络查看该令牌中的声明，以确定请求是否应继续发送到目标申请。什么时候您使用具有访问权限的浏览器，我们将您重定向到您的身份提供者，您登录，然后我们将该令牌存储在cookie中。从命令行进行身份验证需要不同的流，但依赖于相同的原则。当您需要从命令行访问后面的应用程序时，Cloudflare CLI工具cloudflared将启动一个浏览器窗口，以便您可以使用标识提供程序登录。一旦您登录，Access将为您的会话生成一个JWT，其作用域为您的用户身份。更确切地说与将JWT放入cookie中相比，Cloudflare以加密安全的方式将令牌传输到您的机器。客户机为您存储令牌，这样您就不需要每次重新验证。令牌在中配置的会话持续时间内有效进入。什么时候从命令行发出请求时，Access将查找HTTP头cf Access token，而不是cookie。我们将评估头中的令牌以及每个请求。如果你使用卷曲，我们可以帮助你更快地移动。cloudflared包含一个子命令，它包装cURL并将JWT注入你。为什么使用cloudflared访问您的应用程序？使用cloudflared及其cURL包装器，您可以对受Cloudflare保护的API执行任何cURL操作访问控制特定用户的终结点访问可配置为保护特定终结点。例如，您可以创建一个规则，只有团队中的一个小组可以访问特定的URL路径。您可以将这种细粒度保护应用于敏感端点，以便控制谁可以访问这些端点，同时使该工具的其他部分完全可用团队。下载敏感数据将敏感数据放在访问后面的应用程序可以控制谁可以访问这些信息。如果某个特定文件存储在已知位置，则可以通过从命令行将其下载到计算机来节省时间，而不用遍历UI流。什么下一个？现在，所有访问客户都可以通过cloudflared工具进行CLI身份验证。只需将API主机名添加到您的Cloudflare帐户，并启用Access来开始构建控制谁可以访问该API的策略。如果您还没有访问订阅，您可以在这里阅读有关计划的更多信息并签名起来。一次你已经准备好继续放弃你的VPN了，今天就按照这个链接安装cloudflared。该工具尚处于测试阶段，尚不支持自动化脚本或服务到服务的连接。完整的说明和已知的限制可以在这里找到。如果你有兴趣提供反馈，你可以在这个帖子中发表你的评论。