JHH*_*JHH 11 security authentication active-directory node.js jwt
我正在构建一个由Angular前端和Node.JS后端组成的Intranet Web应用程序.应用程序需要使用公司Active Directory进行身份验证和授权.
我正在考虑如何以安全的方式最好地实现这一点.我打算使用Active Directory节点模块实际与AD通信,以便在用户登录时进行身份验证,并检查某些受限操作的安全组成员身份等.
但是,我不太确定授权后端端点的最佳方法是什么.AD模块不提供任何令牌/票证,即使我认为Kerberos用于实际的身份验证过程.在我开发的其他经过身份验证的应用程序中,我在用户登录时生成了jsonwebtoken,然后在每个后端路由中传递并验证了该令牌,在对AD进行身份验证时也是个好主意吗?
编辑:问题的第二部分产生了单独的线程:服务器端处理JWT令牌的最佳实践
另外,关于实际验证令牌的最佳实践,我有一个更普遍的关注点.假设用于JWT生成的"秘密"受到损害(在我的场景中,许多人可能有权访问系统的源代码,但不能访问系统本身).我是否正确地相信恶意用户可以仅使用此信息代表任何给定用户生成令牌,并且在没有通过AD身份验证的情况下在我的API请求中使用该令牌?通常使用生成令牌jwt.sign(payload, secretOrPrivateKey, options).或者,假设恶意用户可以获得实际令牌(在它到期之前).对我而言,似乎不必知道用户的用户名和密码,现在安全性降低到必须知道用户名和JWT秘密.这是一个有效的问题,我该怎么做才能防止这种情况发生?
到目前为止,我最好的希望是在登录后使用服务器端会话来存储有关当前用户的信息,这样即使在访问后端端点时恶意生成和使用令牌,它也会失败,除非用户实际经历了登录路由,通过AD进行身份验证,并在会话中存储一些信息.
我还考虑过在每个 API端点中实际使用AD进行身份验证,但这需要在每个请求中发送AD用户名/密码,这反过来要求敏感信息必须存储在客户端的sessionstorage或localstorage中,这是很可能是一个坏主意.
所以,问题:
1)将AD授权与JWT结合作为承载令牌或使用AD进行身份验证构建安全后端+前端的首选方法是否合理?
2)如果JWT是一个好主意,使用JWT保护端点的最佳做法是什么?使用服务器端会话合理吗?
有趣的是,我已经找到了大量关于如何最好地实现基于令牌的身份验证的示例(通常,或者具体使用NodeJS),但是其中许多似乎都有某种方式存在缺陷.
1)将 AD 授权与 JWT 作为不记名令牌结合起来是否合理,或者使用 AD 进行身份验证构建安全后端 + 前端的首选方式是什么?
这是合理的,但如果您已经使用 Kerberos 和 AD 来初始验证用户身份,您可能会考虑使用s4u2proxy 约束委派,它允许服务向 KDC 提供用户的服务票证并获取(根据授权检查)票证后端服务(并重复需要的服务)。
如果您有很多需要联系的后端服务,那么单个 JWT 承载所有服务执行授权策略所需的所有授权声明可能是更好的选择。
2) 如果 JWT 是个好主意,那么使用 JWT 保护端点的最佳实践是什么?使用服务器端会话合理吗?
一般关键安全实践适用:
| 归档时间: |
|
| 查看次数: |
6615 次 |
| 最近记录: |