Защита приложения Служба приложений
Служба приложений Azure предоставляет встроенную поддержку проверки подлинности и авторизации в службе приложений. Вы можете войти в систему пользователей и получить доступ к данным, написав минимальный или нет кода в веб-приложении, API и серверной части мобильных устройств, а также Функции Azure приложениях.
Безопасные проверка подлинности и авторизация требуют глубокого понимания средств обеспечения безопасности, в том числе федерации, шифрования, управления токенами JWT, типов предоставления разрешений и т. д. Служба приложений предоставляет эти служебные услуги, чтобы вы могли тратить больше времени и энергии на обеспечение бизнес-ценности для вашего клиента.
Примечание.
Вам не требуется использовать службу приложение Azure для проверки подлинности и авторизации. Многие веб-платформы объединяются с функциями безопасности, и вы можете использовать предпочитаемую службу.
Сведения о безопасности приложений с помощью Служба приложений
Давайте рассмотрим, как Служба приложений помогает обеспечить безопасность приложения.
Модуль безопасности проверки подлинности и авторизации в службе приложение Azure выполняется в той же среде, что и код приложения, но отдельно.
Модуль безопасности настраивается с помощью параметров приложения. Для кода приложения не нужны пакеты SDK, определенные языки или изменения.
При включении модуля безопасности каждый входящий HTTP-запрос проходит через модуль перед обработкой кода приложения.
Модуль безопасности обрабатывает несколько задач для приложения:
- Проверка подлинности пользователей с помощью указанного поставщика
- Проверка, хранение и обновление маркеров
- Управление сеансом, прошедшим проверку подлинности
- Внедрение сведений об удостоверениях в заголовки запросов
Рекомендации по использованию Служба приложений для безопасности приложений
Вы настраиваете безопасность проверки подлинности и авторизации в Служба приложений, выбрав функции в портал Azure. Ознакомьтесь со следующими параметрами и подумайте о том, какие возможности безопасности могут воспользоваться реализацией Служба приложений приложений.
Разрешить анонимные запросы (нет действия). Отложите авторизацию неподдержаемого трафика в код приложения. Для запросов, прошедших проверку подлинности, служба приложений также передает сведения о проверке подлинности в заголовках HTTP. Эта функция обеспечивает большую гибкость для обработки анонимных запросов. С помощью этой функции можно представить пользователям несколько поставщиков входа.
Разрешить только прошедшие проверку подлинности запросы. Перенаправьте все анонимные запросы
/.auth/login/<provider>
для выбранного поставщика. Эта функция эквивалентна входу с <помощью поставщика>. Если анонимный запрос поступает из собственного мобильного приложения, возвращенный ответ является сообщениемHTTP 401 Unauthorized
. С помощью этой функции вам не нужно писать код проверки подлинности в приложении.Важно!
Эта функция ограничивает доступ ко всем вызовам приложения. Ограничение доступа ко всем вызовам может оказаться не желательным, если приложению требуется общедоступная домашняя страница, как и для многих одностраничных приложений.
Ведение журнала и трассировка. Просмотр трассировок проверки подлинности и авторизации непосредственно в файлах журнала. Если появится неожиданная ошибка проверки подлинности, вы можете легко найти все сведения, просмотрев имеющиеся журналы приложений. Если включить трассировку неудачных запросов, вы увидите, как модуль безопасности участвовал в неудачном запросе. Найдите ссылки на модуль с именем
EasyAuthModule_32/64
в журналах трассировки.