内部 vs 外部服务 Gartner研究总监Gary Olliffe发表了一篇富有洞察力的文章,题为“微服务:用外部的处理层构建服务 ”,指出微服务架构模式如何处理系统复杂性。...但是,复杂性必须存在于某个地方,并且通过微服务方法,这种复杂性被推到个人微服务之外,变成一个通用的服务层。 Gary把(更简单的)微服务的实现称为“内部架构”,将复杂性推到“外部架构”。...应用程序容器既是描述应用程序组件中的内容的镜像打包机制,也是指定如何启动和执行应用程序组件的应用程序运行时。...更妙的是,其中一些容器服务本身作为一组系统容器进行部署和编排,允许额外的管理和真正的多重云应用程序的交付和管理。容器服务帮助您减少维护和升级所需的应用程序代码。向应用程序添加依赖关系应谨慎。...在少数情况下,编译公共服务、管理依赖关系、控制版本和升级是有意义的。然而,总的来说,我的建议是尽可能多地向你的应用程序和应用程序容器之外的“外部”架构层推送!
外部服务 Gartner研究总监Gary Olliffe发表了一篇深刻见解的文章,标题为“微服务:用外部内容建设服务”,文章阐释了微服务架构模式如何处理系统复杂性。...但是,复杂性必须去某个地方;通过微服务方法,复杂性被推送到单个的微服务外部的公共服务层。 加里把微服务的(简单化)执行称为“内部体系结构”,把复杂性所被推送到的阶层称为“外部体系结构”。...这种分类为我们提供了一个很好的定义容器服务的模式。 管理应用程序复杂性 所以,如果复杂性被推送到应用程序的外部,谁来处理呢?显然,需要一些处理公共服务的层,即微服务所需的“管道”。...这并不奇怪,因为OCI处理两个规范:处理应用程序运行时的OCI运行规范,以及最近公布的涵盖了应用程序的定义和打包的OCI图像格式规范。...在少数情况下,编译公共服务和管理依赖关系,版本控制和升级等方式是有意义的。但总体来说,我建议尽可能地向应用程序容器之外、应用程序之外的“外部”体系结构层推送!
Activity entry 描述了 Actor 指定的用户通过 Verb 指定的动作对 Object 指定的对象的行为。Activity entry 可以来自不同的类型。...Catpic是.NET平台上的一个开源OpenSocial 容器规范实现,并提供托管OpenSocial小工具 -简单的HTML和JavaScript应用程序,可以嵌入在网页和其他应用程序的能力。...Catpic的小工具服务器由以下几部分组成: OpenSocial Container: OpenSocial容器的公共规范,它定义一个组成部分托管环境(容器)和一组通用的应用编程接口(API)的社交网络的基于...Web的应用程序的执行情况 Gadget Container JavaScript: JavaScript核心基础一般的小工具功能。...可扩展的自定义模块 简单地集成到现有的ASP.NET / ASP.NET MVC应用程序通过的NuGet包(开发中) 具体内容参照文章Socialize your ASP.NET application
人工智能为应用程序体验带来了新的模式,为开发人员在身份验证和授权方面带来了新的益处和挑战。...这种应用程序安全的额外复杂性对于内部构建身份解决方案的开发人员来说尤其困难。 人工智能给传统应用程序带来了新的威胁 人工智能现在有能力增强传统的应用程序安全威胁。...随着这些基于身份的攻击变得越来越危险,开发人员必须确保其应用程序授权和身份验证是安全的,并且只有合法用户才能成功访问其帐户。...这些工具可以分析与应用程序访问活动相关的各种信号,并将它们与历史数据进行比较,以查找常见模式。如果检测到可疑活动,将要求额外的身份验证因素来验证用户的身份。...Auth0Lab 团队已经开始尝试通过 AI 和细粒度身份验证 (FGA) 以及内容真实性等机会来保护基于 AI 的应用程序。
淘宝开放平台(Taobao Open Platform)是基于淘宝各类电子商务业务的开放平台,提供外部合作伙伴参与服务淘宝用户的各类原材料,例如API、账号体系、数据安全等。...开放平台的一个经典案例就是Google,Google在开放API方面的称得上是开拓者和领导者,拥有Search API、Google Map API、Opensocial API等一系列还在不断增长的API...Google App Engine是Google提供的基于Google数据中心的开发、托管网络应用程序的平台,每个免费帐户可使用1GB存储空间,以及可支持每月约500 万页面浏览量的CPU和宽带。...大多数Web应用程序都 需要进行一定的修改才能运行在App Engine上。 4、开放平台使用的技术 当前开发平台都是开放API的方式来提供服务。...2)、授权认证技术:在平台里面数据和系统安全是非常重要的。所以支持必要的安全验证是必须的,如TOP采用的是OAuth2.0标准协议,用来用户身份验证和授权。
缩放 - 这是大家都重视的事情。 当谈到有关云编排的话题时(现在所有的酷孩子都在做这个),当没有人是派对扫兴者也没人突然插嘴打断别人说“是的,但你能够自动收缩我的应用程序吗?”...首先,你试图扩展的应用程序必须意识到,它可能会被缩放,而不是依赖于任何可能按比例改变的状态。 Cloudify能使OpenStack Orchestration变得轻松。现在得到它。...通过Heat在OpenStack上进行缩放 OpenStack Heat是为OpenStack Cloud设计的应用程序编排引擎。...,它定义了我们想要扩展安装httpd的 OS :: Nova :: Server类型的资源,并将Wordpress应用程序部署到它上面。...在很多情况下,我们真正感兴趣的是应用程序/中间件的具体指标。也就是说,我想让我的Wordpress服务器在有太多的请求触及当前端点时进行扩展。
根据该报告显示,70%的全球500强企业的部分网站访问权限都有在互联网黑市上销售;另外92%的外部Web应用程序具有可利用的安全漏洞或缺陷。...该报告介绍称: “一家美国公司平均拥有85.1个应用程序,可以很轻松地从外部检测到,并且这些应用通常不受双因素身份验证(2FA)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制措施的保护。...接下来,它针对这些企业的外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞情况进行了评估。...结果发现,在全球范围内,19%的受检企业拥有无保护的外部云存储,且只有2%的外部Web应用程序通过web应用程序防火墙得到了适当保护。 而在美国,这种情况甚至还要糟糕得多。...研究发现,27%的美国公司最少有一个外部云存储(例如AWS S3 bucket)可以在无需任何来自互联网的身份验证即可成功访问。在欧洲,只有12%的受检企业存在同样的问题。
联合身份为连锁超市(服务提供商)提供了一种安全的方式,通过与其供应商(身份提供商)现有的身份基础设施集成来外部化身份验证。...当服务提供商收到来自身份提供商的响应时,该响应必须包含所有必要的信息。规划核对表虽然SAML协议是一个标准,但根据您的应用程序的性质,有不同的方法来实现它。...根据应用程序的体系结构,您需要考虑如何存储来自每个身份提供者的SAML配置(例如,证书或IdP登录URL),以及如何为每个提供者提供必要的SP信息。...为每个人启用SAML,而不是为部分用户根据应用程序的性质,可能有理由只允许部分用户启用SAML。想象一下内部员工和外部用户(如合作伙伴)可以访问的应用程序。...员工可以使用SAML登录到应用程序,而外部用户可以使用一组单独的凭据。
在上一篇文章中,我使用ASP.NET Identity 验证用户存储在数据库的凭据,并根据与这些凭据相关联的角色进行授权访问,所以本质上身份验证和授权所需要的用户信息来源于我们的应用程序。...ASP.NET Identity 还支持使用声明来和用户打交道,它效果很好,而且应用程序并不是用户信息的唯一来源,有可能来自外部,这比传统角色授权来的更为灵活和方便。...获取声明来自多个来源意味着我们的应用程序不会有重复数据并可以和外部数据集成。Claim 对象的Issuer 属性 告诉你这个声明的来源,这能帮助我们精确判断数据的来源。..."; } 使用第三方来身份验证 像ASP.NET Identity 这类基于声明的系统的一个好处是任何声明能从外部系统获取,这意味着其他应用程序能帮我们来身份验证。...为了测试Google 身份验证,我们启动应用程序,当验证通过后,访问Claims/Index,得到如下声明: ? 可以看到一些声明的认证发布者是Google,而且这些信息来自于第三方。
如果将 UAA 配置为使用来自外部 IDP(例如现有 LDAP 或 SAML 提供程序)的自定义属性映射,则可以使其他属性可用。有关 IDP 选项的详细信息,请参阅UAA 中的 身份提供程序。...外部 IDP 和这些提供程序的属性都是只读的。对外部用户帐户的任何更改都应直接在外部 IDP 上执行。每次用户通过外部 IDP 进行身份验证时,都会刷新这些只读属性。...provider alias}:经 SAML IDP 认证的用户 经过外部 IDP 身份验证的用户在 UAA 中通常称为影子用户。...客户端受简单的凭据(例如客户端 ID 和机密)保护,应用程序使用这些凭据对 UAA 进行身份验证以获得令牌。...或者,您可能正在使用 Facebook 和组织的 LDAP 系统。您可以限制 UAA 仅在用户来自某个提供商的情况下才发行应用程序令牌。
虽然大多数这些系统可以与中央用户存储(例如LDAP / AD)连接以获取用户信息,但每个应用程序必须在提供其服务之前进行身份验证用户。...如果我们参加超市链的一个例子,以下几乎是来自此类计划的可能使用案例很少: 当库存级别运行低时,购买订单必须自动发送给注册供应商(选择供应商和批准大型采购订单等步骤可能需要人为干预)。...类似于集成层,也可以通过利用基础设施提供的自动缩放功能来自动缩放API网关集群。 ◆ API管理层 API管理平面有助于API发布,策略定义,应用程序注册,API订阅和API生命周期管理活动。...支持与多个用户存储连接,例如LDAP / Active Directory和RDBMS 使用外部身份提供商连接/联合验证未在组织的IAM系统中注册的用户(例如使用Google,Facebook等或外部IAM...所有客户端应用程序和后端系统都可以使用IAM层执行身份验证(例如,对于客户端应用程序)和授权,而不实现每个应用程序中的这些功能。
Cognos 名称空间不可用于身份验证中,但可以用来为来自外部身份验证源的名称空间和定义身份验证的应用程序的安全对象提供逻辑映射层。...Cognos 名称空间是内置的名称空间,用来将外部验证源的用户、组和角色映射到已定义应用程序特定的安全模型中。关于 Cognos 的更多信息,请参考 “身份验证概念和最佳实践” 小节。...这指的是诸如在仪表板显示来自外部 URL 的摘要、包含来自外部服务器的图片、集成 IBM Cognos TM1 Contributor 或重定向到 Lotus Connection 主机以创建 Activity...先是为受保护的特性和函数定义哪个外部身份验证源生成的外部安全对象,如用户、组和角色,并为应用程序内容(如数据包、报告和仪表板)定义对象安全。...在初始化时,Cognos 名称空间中没有任何从外部安全对象到权限的设置。授权只是根据来自 Cognos 名称空间的对象定义的。
WEB应用程序的客户端将查询Redis生成页面或执行请求或由用户触发。在这个例子中,WEB应用链接了Redis和不可信的客户端。...在大多数直接暴露在互联网的单个计算机,例如,虚拟化的LINUX实例(LINODE,EC2,.....) Redis端口应该被防火墙阻止来自外部的访问。...如果开启了身份验证功能,Redis将拒绝所有的未身份验证的客户端的所有操作。客户端可以发送AUTH命令+密码来验证自己。 密码是由系统管理员在Redis。...身份验证的目标是提供第二层的安全保障。这样当防火墙或者其他第一层的系统安全设置失效的话,一个外部设备在没有密码的情况下仍然不能访问redia。...LUA脚本执行EVAL和EVALSHA命令时遵循相同的规则,因此这些命令也是安全的。 然而这回事一个非常奇怪的用例,应用程序应该避免使用LUA脚本获取来自非信任源的字符串。
- 4.9、执行跨站点请求伪造攻击 CSRF攻击是指经过身份验证的用户在对其进行身份验证的Web应用程序中执行不需要的操作的攻击。...这是通过用户访问的外部站点完成的,并触发这些操作。...在本文中,我们将从应用程序中获取所需信息,以便了解攻击站点应该如何向易受攻击的服务器发送有效请求,然后我们将创建一个模拟合法请求的页面,并诱使用户访问经过身份验证的那个页面。...虽然这证明了这一点,但外部站点(或本例中的本地HTML页面)可以在应用程序上执行密码更改请求。用户仍然不太可能点击“提交”按钮。 我们可以自动执行该操作并隐藏输入字段,以便隐藏恶意内容。...如果服务器没有验证它收到的请求实际上来自应用程序内部,通常是通过添加包含唯一的参数,对于每个请求或每次更改的令牌,它允许恶意站点代表访问此恶意站点的合法,活跃用户进行呼叫,同时对目标域进行身份验证。
介绍¶ 微服务架构越来越多地用于在基于云的和本地基础设施、大规模应用程序和服务中设计和实现应用程序系统。在应用程序设计和实施阶段需要解决许多安全挑战。在设计阶段必须解决的基本安全要求是身份验证和授权。...因此,对于应用程序安全架构师来说,理解和正确使用现有架构模式在基于微服务的系统中实现身份验证和授权至关重要。本备忘单的目标是识别此类模式,并为应用程序安全架构师提供有关使用它的可能方式的建议。...策略门户和策略存储库是基于 UI 的系统,用于创建、管理和版本化访问控制规则; 聚合器从所有外部来源获取访问控制规则中使用的数据并保持最新; Distributor 拉取访问控制规则(来自 Policy...为了允许内部服务层强制执行授权,边缘层必须将经过身份验证的外部实体身份(例如,最终用户上下文)连同对下游微服务的请求一起传播。...使用由受信任的发行者签名的数据结构¶ 在此模式中,在边缘层的身份验证服务对外部请求进行身份验证后,代表外部实体身份的数据结构(例如,包含的用户 ID、用户角色/组或权限)由受信任的颁发者生成、签名或加密并传播到内部微服务
网络最初设计的目的是通过一个固定的边界来创建与外部世界相隔离的内部网络。内部网络被认为是可信赖的,而外部网络被认为是敌对的。...边界方法的设计基于可见性和可访问性。如果网络外部的实体无法看到内部资源,则无法获取访问权限。因此,外部实体被禁止进入,但内部实体被允许通过。然而,边界方法只在某种程度上起作用。...国防部和情报社区(IC)内的组织实施了类似的网络架构,该架构基于网络访问之前的身份验证和授权。 通常,每个内部资源都隐藏在设备后面。并且用户在授予访问权限之前必须进行身份验证。...应用零信任框架 SDP是零信任的扩展,它消除了来自网络的隐含信任。SDP的概念始于谷歌的BeyondCorp,这是该行业目前最流行的一个案例。...然后,在请求系统和应用程序基础结构之间实时创建加密连接。 在允许单个数据包到达目标服务之前对用户及其设备进行身份验证和授权,在网络层强制实施所谓的最低权限。
开发安全的服务 四个方面: 身份验证 访问授权 审计 安全的进程间通信 传统的单体应用程序的安全性 应用程序的客户首先登陆获取会话令牌,该令牌通常是cookie。...由API Gateway处理身份验证 让每个服务分别对用户进行身份验证,出现安全漏洞的风险、概率比较大。且服务需要处理不同的身份验证机制。...但你也可以将其用于应用程序中的身份验证和访问授权。 如何验证API客户端: 客户端发出请求,使用凭据,API Gateway通过向OAuth2.0身份验证服务器发出请求来验证API客户端。...外部化配置机制在运行时向服务实例提供配置属性值,分为推送和拉取两种模型。 使用基于推送的外部化配置 推送模型依赖于部署环境和服务的协作,当部署基础设施创建服务实例时,它会设置包含外部化配置的环境变量。...命令行参数 SPRING_APPLICATION_JSON JVM系统属性 操作系统环境变量 当前目录中的配置文件 来自此列表的靠前的来源的特定属性值将覆盖此列表稍后的来源中的相同属性。
相反,您的主要目标应该是尽快掌握核心功能。 但核心功能究竟是什么?假设您想创建一个新的送餐应用程序。除非您创建一种新的独特的用户身份验证方式,否则您可能不想推出自己的用户身份验证系统,对吧?...对于 B2C 应用程序,使用单个逻辑数据库可能更容易。特别是如果您想创建一个具有社交媒体特征的应用程序或类似约会应用程序的客户相互交互的应用程序,那么您可能会从更紧密的客户数据中受益。...再一次,过多的外部依赖会减慢你的速度。 托管后端 API 托管后端 API 的选项有很多。从裸机到托管应用服务。...处理外部事件,例如来自我们的支付服务提供商的支付状态更新或来自其他集成系统的更新 处理内部事件 无服务器功能与消息服务总线相结合,为数据处理和内部事件处理提供了一个很好的解决方案。...第一部分结束 在这篇文章变得太长之前,让我们在一个简单的清单中总结到目前为止我们学到的东西: 确定您的应用程序的核心业务理念 了解您的应用类型是 B2B、B2C 还是两者兼有 添加身份验证提供程序 为您的交易电子邮件找到合适的电子邮件服务提供商
故事是关于什么的? 如果您认为在 ASP.NET Core 中管理身份验证意味着满足于一种方法,那么想象一下这样一个世界:您可以无缝处理多个身份验证方案,所有这些都在同一个应用程序中。...如果您有兴趣构建一个强大而灵活的身份验证系统,您应该阅读本指南。 为什么使用多种身份验证方案? 在现代应用程序中,通常支持各种客户端和服务,每个客户端和服务都需要不同的身份验证机制。...例如: 微服务通信:内部服务可能会使用 JWT 进行 API 到 API 的通信。 用户身份验证:外部用户可以通过第三方提供商或自定义令牌机制进行身份验证。...这将允许我们处理来自不同来源的令牌,并支持用于令牌验证的自定义逻辑。 1. 配置身份验证方案 首先,我们将在 或专用服务扩展方法中设置身份验证服务。...这种方法不仅提高了身份验证基础设施的灵活性,还使您的应用程序能够适应未来需求,以便根据需要集成其他身份验证方法。
将身份验证委托给外部标识提供者。 这可以简化开发、最小化对用户管理的要求,并改善应用程序的用户体验。...或 Facebook帐户的用户进行身份验证的社交标识提供者。 该图说明了当客户端应用程序需要访问要求身份验证的服务时的联合身份模式。 身份验证由与 STS 协同工作的 IdP 执行。...此模型通常称为基于声明的访问控制。 应用程序和服务基于令牌中包含的声明授权访问功能。 需要身份验证的服务必须信任 IdP。 客户端应用程序联系执行身份验证的 IdP。...STS 可以基于用户提供的电子邮件地址或用户名、用户正在访问的应用程序的子域、用户的 IP 地址范围或存储在用户浏览器 cookie 中的内容来自动执行此操作。...这在使用公司目录(可在应用程序中访问)进行身份验证的业务应用程序中很典型,身份验证的方式是通过使用 V** 或(在云托管方案中)通过本地目录与应用程序之间的虚拟网络连接。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
