2017-01-02 122 views
0

我们正在研究移动报告应用程序的认证/授权,该应用程序使用MS Azure Cloud内部运行的内部提供的RESTful Web API服务通过电汇使用每小时/每周/每月的商业敏感数据。 Stormpath的产品看起来很有趣,因为它似乎对事物的整个身份管理方面提供了一些重型,注册用户,验证他们生产JWT令牌等 否则,我们将不得不编写自己的身份验证/用户数据库表并有一些管理开销。用于JWT认证/ Azure授权的Stormpath

我不完全清楚的是Azure提供的当前不安全,未经身份验证的原型API需要与Stormpath相交。 任何人,特别是那些熟悉斯托马斯的人能详细说明吗?

我得到所有的用户注册,密码恢复用例将通过Stormpath去,我猜测为用户创建JWT令牌将需要我们现有的服务与Stormpath对话。我们的RESTful调用的HTTP(S)头部中的令牌的验证是否由我们的Azure服务在本地(通过某个代码插件)完成,如果是,则是在本地完成验证,或者每个RESTful调用是否具有代理调用的副作用Stormpath API来验证令牌的好处?

我想我对性能敏感问题有关的Web API管线内的整个令牌验证步骤。

我已经在其他地方看到,微软自己有一个产品,即Azure AD B2C,它似乎还没有生产准备好美国/北美以外的地区。 除了Stormpath这样的外包服务外,我们还应该考虑其他什么?

一两件事,看起来大约像Stormpath吸引人的是双因素身份认证的可能性。 尚未进行太多分析,典型的使用案例情况是,注册或密码恢复将要求向用户的预先注册的智能手机号码发送短信,以提供更强的验证,以确认他们(及其预先注册的设备)是使用RESTful服务消费和可视化商业敏感数据的移动应用程序的预期用户。

回答

0

我在Stormpath的.NET库上工作。

我不完全清楚的是Azure提供的当前不安全,未经身份验证的原型API需要与Stormpath相交。

Stormpath是API的访问令牌来源。当有人使用您的移动应用程序需要登录时,后端API使用Stormpath生成访问令牌,或者移动应用程序直接与Stormpath对话以获取访问令牌。无论哪种方式,该令牌都允许移动应用程序向您的API请求认证请求。

会令牌的HTTP(S)在我们的REST调用的头中验证我们的Azure的服务在本地完成(通过一些代码的插件),如果是的是验证在本地完成或做各的RESTful调用有代理调用Stormpath API的副作用来验证令牌的好处?

的访问令牌(JWT)的完整性可以在本地使用中间件就像在ASP.NET UseJwtBearerAuthentication进行验证。为了更安全起见,您可以将令牌上传到Stormpath以进一步验证(对于撤销和其他情况),但权衡是网络请求。本地(快速)验证是默认的,但我们给你两个选项。

我已经在其他地方看到过,微软自己有一个产品,即Azure AD B2C,它似乎还没有生产准备好美国/北美以外的地区。除了Stormpath这样的外包产品外,我们还应该考虑其他什么?

使用Stormpath或Azure AD B2C将您的身份和用户管理“外包”。好处是您不必亲自编写代码,而是可以专注于编写业务和应用程序逻辑。虽然Stormpath在事物的移动端更灵活一些(因为您不必使用基于浏览器/页面的流),但这些功能是相似的。