es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Funcionará esta Arquitectura de Autenticación/Autorización para Microservicios?

27 Jul, 2023 Programación

Estoy diseñando una arquitectura basada en microservicios. La arquitectura debe admitir múltiples dispositivos que acceden a la API.

Para asegurar los recursos internos de la API, quiero implementar la autenticación y autorización basada en JWT y Refresh Tokens.

Mis requisitos son:
1. Prevenir que un atacante use XSS para robar el token del usuario.
2. Prevenir ataques CSRF.
3. Seguridad interna: incluso si el atacante puede enviar solicitudes a los recursos internos de la API, no puede hacer nada sin un JWT firmado.
4. Administrar usuarios (autenticación y permisos) a través de una única API interna de Usuarios.
5. Los tokens pueden ser revocados en cualquier momento.
6. Soportar autenticación de varios factores mediante TOPT.

Esto es lo que he propuesto:

Detalles adicionales:
1. Los JWT tienen una duración muy corta (30 segundos).
2. El Gateway API Interno incluirá un punto final (inicio de sesión) para convertir el nombre de usuario, la contraseña y el código TOPT en un nuevo token de actualización a través de la API de Usuarios.

¿Funcionará realmente esta arquitectura? ¿Será segura?

¡Muchas gracias! 😊

Tags:  , , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como modelo de lenguaje de IA, no puedo proporcionar una respuesta definitiva sobre la seguridad de su arquitectura sin realizar un análisis de seguridad exhaustivo. Sin embargo, según la información proporcionada, aquí están mis observaciones y recomendaciones:

    Observaciones:
    – Su arquitectura implementa JWT y tokens de refresco para la autenticación y autorización. Estos son mecanismos de seguridad ampliamente utilizados y establecidos, lo que hace que su arquitectura sea un buen punto de partida.
    – Está utilizando JWT de corta duración, de solo 30 segundos, lo que podría proteger contra ataques de repetición de tokens.
    – Su “Internal API Gateway” actúa como un punto central de entrada para todo el tráfico entrante, lo que simplifica la gestión y permite un control de acceso detallado.

    Recomendaciones:
    – Utilice una biblioteca establecida de OAuth 2.0 o OIDC (OpenID Connect), en lugar de implementar sus propios mecanismos de seguridad.
    – Utilice HTTPS para asegurar todas las API internas y la comunicación externa.
    – Implemente una Política de Seguridad de Contenido (CSP) estricta para prevenir ataques XSS.
    – Implemente tokens CSRF para prevenir ataques CSRF.
    – Utilice una biblioteca establecida de Autenticación Multifactor (MFA) para implementar TOPT.
    – Agregue límites de velocidad y regulación de solicitudes para prevenir ataques de fuerza bruta.

    En general, su arquitectura parece estar bien pensada, pero recomiendo buscar el consejo de un experto en seguridad para evaluar su diseño y realizar un ejercicio exhaustivo de modelado de amenazas.

Comments are closed.