对于我们的产品,我们正在存储以db(3层体系结构)形式散列的客户凭据。我们希望身份验证在第一层完成,aws解决方案可以用于此目的,可能是AWS HSM,但是应用层需要做什么更改才能完成此操作。将用户凭证存储在3层体系结构中
- 这是使用CloudFront的路由使用数据库复制
我们也有主动 - 主动多区域网站
对于我们的产品,我们正在存储以db(3层体系结构)形式散列的客户凭据。我们希望身份验证在第一层完成,aws解决方案可以用于此目的,可能是AWS HSM,但是应用层需要做什么更改才能完成此操作。将用户凭证存储在3层体系结构中
我们也有主动 - 主动多区域网站
我同意你的架构的一些进一步的细节将有所帮助。这是一个Web应用程序,移动应用程序,其他胖客户端?你如何在数据库中实现主动 - 主动多区域架构?我想建议AWS Cognito,但在这种情况下多区域需求会变得更加复杂。
今天你如何确定你的用户路由到哪个区域?如果使用AWS Cognito,您可能需要为每个区域创建一个用户池,但这意味着您的用户需要根据其区域路由到正确的用户池。
我从网络,移动和胖客户端应用程序中获得了AWS Cognito身份的好运气,甚至还将许多与Cognito的Lambda集成用于商业级应用程序。一些很好的例子 -
http://docs.aws.amazon.com/cognito/latest/developerguide/walkthrough-using-the-ios-sdk.html
http://docs.aws.amazon.com/cognito/latest/developerguide/setting-up-android-sdk.html
嗨刚刚添加信息 – luckyme
请介绍更多的细节您的架构。请注意,AWS HSM不存储客户凭证,但存储私钥或密钥。 –
我不希望客户的请求,直到数据库验证登录.. HSM可以存储秘密? – luckyme
您应该更好看AWS标识和访问管理(IAM)。 HSM用于存储加密密钥和计算加密操作,而无需将这些密钥导出到HSM之外。不是存储用户凭据的最佳方式。可能是生成用户凭证的地方(例如,使用存储在HSM中的密钥对这些凭证进行签名)。但看看IAM。似乎更好地满足您的需求。 –