應用程式的安全性非常重要。 無論用戶體驗有多出色,駭客可能會危害不安全的應用程式、破壞其完整性和惡化的使用者信任。
本文包含確保 Azure 地圖服務應用程式安全性的秘訣。 使用 Azure 時,請務必熟悉可用的安全性工具。 如需詳細資訊,請參閱 Azure 安全性檔中的 Azure 安全性簡介 。
了解安全性威脅
如果駭客取得您帳戶的存取權限,他們可能會執行無限次的可計費交易,導致非預期成本,並因 QPS 限制而影響效能。
若要實作保護 Azure 地圖服務應用程式的最佳做法,請務必瞭解可用的各種驗證選項。
Azure 地圖服務中的驗證最佳做法
使用 Azure 地圖服務開發公開面向的用戶端應用程式時,請務必確保您的驗證秘密保持私人,且無法公開存取。
訂用帳戶金鑰型驗證 (共用金鑰) 可用於用戶端應用程式或 Web 服務,但這是保護應用程式或 Web 服務最不安全的方法。 這是因為密鑰可以輕鬆地從 HTTP 請求中擷取,允許存取在該 SKU 中可用的所有 Azure Maps REST API(定價層)。 如果您使用訂用帳戶密鑰,請務必 定期輪替密鑰 ,並記住共用密鑰不支援可設定的存留期,因此必須手動進行輪替。 請考慮 搭配 Azure Key Vault 使用共用密鑰驗證 ,以安全地將秘密儲存在 Azure 中。
使用 Microsoft Entra 驗證 或 共用存取簽章 (SAS) 令牌驗證時,會使用 角色型訪問控制 (RBAC) 來授權存取 Azure 地圖服務 REST API。 RBAC 可讓您指定授與已發行令牌的存取層級。 請務必考慮應授與存取權的持續時間。 不同於共用金鑰驗證,這些權杖的存留期是可設定的。
公用用戶端和機密用戶端應用程式
公用和機密用戶端應用程式之間有不同的安全性考量。 如需有關被視為公用與機密用戶端應用程式的詳細資訊,請參閱 Microsoft 身分識別平台文件中的公用用戶端和機密用戶端應用程式。
公用用戶端應用程式
對於在裝置、桌面電腦或網頁瀏覽器上執行的應用程式,建議您使用 跨原始來源資源分享 (CORS) 定義哪些網域可以存取您的 Azure 地圖服務帳戶。 CORS 會通知用戶端的瀏覽器,哪些特定來源(例如「https://microsoft.com」)被允許請求 Azure Maps 帳戶的資源。
注意
如果您要開發 Web 伺服器或服務,則不需要使用 CORS 設定 Azure 地圖服務帳戶。 不過,如果您的用戶端 Web 應用程式包含 JavaScript 程式代碼,CORS 就會套用。
機密用戶端應用程式
對於伺服器型應用程式,例如 Web 服務和服務/精靈應用程式,請考慮使用 受控識別 來避免管理秘密的複雜性。 受控識別可為 Web 服務提供身分識別,以使用 Microsoft Entra 驗證連線到 Azure 地圖服務。 接著,您的 Web 服務可以使用此身分識別來取得必要的Microsoft Entra 令牌。 建議使用 Azure RBAC 來設定授與 Web 服務的存取權,並可能套用 最低許可權角色 。