Zvýšení odolnosti ověřování a autorizace v aplikacích démonů, které vyvíjíte
Naučte se používat platformu Microsoft Identity Platform a Microsoft Entra ID ke zvýšení odolnosti aplikací démonů. Přečtěte si informace o procesech na pozadí, službách, serverových aplikacích a aplikacích bez uživatelů.
Viz Co je Microsoft Identity Platform?.
Následující diagram znázorňuje aplikaci démona, která volá platformu Microsoft Identity Platform.
Spravované identity pro prostředky Azure
Pokud vytváříte aplikace démona v Microsoft Azure, použijte spravované identity pro prostředky Azure, které zpracovávají tajné kódy a přihlašovací údaje. Tato funkce zlepšuje odolnost tím, že zpracovává vypršení platnosti certifikátu, rotaci nebo vztah důvěryhodnosti.
Viz část Co jsou spravované identity pro prostředky Azure?
Spravované identity používají dlouhodobé přístupové tokeny a informace z platformy Microsoft Identity Platform k získání nových tokenů před vypršením platnosti tokenů. Aplikace se spouští při získávání nových tokenů.
Spravované identity používají regionální koncové body, které pomáhají zabránit selhání mimo oblast sloučením závislostí služeb. Regionální koncové body pomáhají udržovat provoz v geografické oblasti. Pokud je váš prostředek Azure například v oblasti WestUS2, veškerý provoz zůstane v oblasti WestUS2.
Microsoft Authentication Library
Pokud vyvíjíte aplikace démona a nepoužíváte spravované identity, použijte k ověřování a autorizaci knihovnu Microsoft Authentication Library (MSAL). MSAL usnadňuje proces poskytování přihlašovacích údajů klienta. Vaše aplikace například nemusí vytvářet a podepisovat kontrolní výrazy webového tokenu JSON pomocí přihlašovacích údajů založených na certifikátech.
Přehled knihovny Microsoft Authentication Library (MSAL)
Microsoft.Identity.Web pro vývojáře v .NET
Pokud vyvíjíte aplikace démona v ASP.NET Core, použijte knihovnu Microsoft.Identity.Web k usnadnění autorizace. Zahrnuje strategie mezipaměti distribuovaných tokenů pro distribuované aplikace, které běží ve více oblastech.
Další informace:
Ukládání tokenů do mezipaměti a ukládání
Pokud k ověřování a autorizaci nepoužíváte MSAL, existují osvědčené postupy pro ukládání tokenů do mezipaměti a ukládání tokenů. MSAL implementuje a dodržuje tyto osvědčené postupy.
Aplikace získává tokeny od zprostředkovatele identity (IDP) k autorizaci aplikace pro volání chráněných rozhraní API. Když vaše aplikace obdrží tokeny, odpověď s tokeny obsahuje expires\_in vlastnost, která aplikaci říká, jak dlouho se má token ukládat do mezipaměti a znovu ho používat. Zajistěte, aby aplikace používaly expires\_in vlastnost k určení životnosti tokenů. Ověřte, že se aplikace nepokoušá dekódovat přístupový token rozhraní API. Použití tokenu uloženého v mezipaměti brání zbytečnému provozu mezi aplikací a platformou Microsoft Identity Platform. Uživatelé jsou přihlášení k vaší aplikaci po celou dobu života tokenu.
Kódy chyb HTTP 429 a 5xx
V následujících částech najdete informace o kódech chyb HTTP 429 a 5xx.
HTTP 429
Existují chyby HTTP, které ovlivňují odolnost. Pokud vaše aplikace obdrží kód chyby HTTP 429, příliš mnoho požadavků, platforma Microsoft Identity Platform snižuje vaše požadavky, což brání vaší aplikaci v příjmu tokenů. Ujistěte se, že se vaše aplikace nepokouší získat token, dokud nevyprší čas v poli odpovědi Opakovat až po vypršení platnosti. Chyba 429 často značí, že aplikace neukládají do mezipaměti a znovu používají tokeny správně.
HTTP 5xx
Pokud aplikace obdrží kód chyby HTTP 5x, nesmí aplikace zadávat rychlou smyčku opakování. Zajistěte, aby aplikace čekaly na vypršení platnosti pole Opakovat až po . Pokud odpověď neobsahuje hlavičku Opakování po, použijte exponenciální opakování opakování s prvním opakováním aspoň 5 sekund po odpovědi.
Když vyprší časový limit požadavku, ověřte, že se aplikace neopakují okamžitě. Použijte dříve citované exponenciální opakování opakování.