驗證最佳做法
應用程式最重要的部分即是安全性。 即使使用者體驗再好,若應用程式不安全,便可能遭駭客破壞。
以下幾項秘訣可安全保護您的 Azure 地圖服務應用程式。 使用 Azure 時,請務必熟悉可用的安全性工具。 如需詳細資訊,請參閱 Azure 安全性簡介。
了解安全性威脅
獲得您帳戶存取權的駭客可能會產生無限制的可計費交易,導致非預期的成本,並因 QPS 限制而降低效能。
在您考慮保護 Azure 地圖服務應用程式的最佳做法時,您必須了解可用的不同驗證選項。
Azure 地圖服務中的驗證最佳做法
使用 Azure 地圖服務建立公開用戶端應用程式時,您必須確定無法公開存取您的驗證密碼。
訂用帳戶金鑰型驗證 (共用金鑰) 可用於用戶端應用程式或 Web 服務,不過這是保護應用程式或 Web 服務最不安全的方法。 原因是金鑰很容易從 HTTP 要求取得,並授與 SKU 中所有 Azure 地圖服務 REST API 的存取權 (定價層)。 如果您使用訂用帳戶金鑰,請務必定期輪替這些金鑰,並請記住,共用金鑰不允許可設定的存留期,必須手動完成。 您也應該考慮搭配 Azure 金鑰保存庫使用共用金鑰驗證,這可讓您安全地將秘密儲存在 Azure 中。
如果使用 Microsoft Entra 驗證或共用存取簽章 (SAS) 權杖驗證,則會使用角色型存取控制 (RBAC) 來授權存取 Azure 地圖服務 REST API。 RBAC 可讓您控制已發行權杖的存取權。 您應該考慮應授與權杖的存取時間長度。 不同於共用金鑰驗證,這些權杖的存留期是可設定的。
公用用戶端和機密用戶端應用程式
公用和機密用戶端應用程式之間有不同的安全性考量。 如需有關被視為公用與機密用戶端應用程式的詳細資訊,請參閱 Microsoft 身分識別平台文件中的公用用戶端和機密用戶端應用程式。
公用用戶端應用程式
對於在裝置或桌上型電腦或網頁瀏覽器中執行的應用程式,您應該考慮使用跨原始來源資源共用 (CORS) 來定義哪些網域可以存取您的 Azure 地圖帳戶。 CORS 會指示用戶端瀏覽器的來源,例如 "https://microsoft.com";允許要求 Azure 地圖帳戶的資源。
注意
如果您要開發 Web 服務器或服務,則不需要使用 CORS 設定 Azure 地圖服務帳戶。 如果您在用戶端 Web 應用程式中有 JavaScript 程式碼,則會套用 CORS。
機密用戶端應用程式
對於在伺服器上執行的應用程式 (例如 Web 服務和服務/精靈應用程式),如果您想要避免管理秘密的額外負荷和複雜度,請考慮受控識別。 受控識別可為 Web 服務提供身分識別,以在使用 Microsoft Entra 驗證連線到 Azure 地圖服務時使用。 如果是,您的 Web 服務會使用該身分識別來取得必要的 Microsoft Entra 權杖。 您應該使用 Azure RBAC,使用可能的最低特殊權限角色來設定 Web 服務的存取權。