标准OpenID Connect认证姗姗而来

本文涉及的产品
云原生 API 网关,700元额度,多规格可选
简介: API认证方式是涉及API安全的关键因素。一个安全的认证方式不仅要认证API请求的身份信息,还要能够对请求做一定的安全防护。如:防止请求被篡改、防止秘钥泄露、防止请求重放攻击等。因此API网关提供了第一版签名“阿里云APP”的认证方式。

API认证方式是涉及API安全的关键因素。一个安全的认证方式不仅要认证API请求的身份信息,还要能够对请求做一定的安全防护。如:防止请求被篡改、防止秘钥泄露、防止请求重放攻击等。因此API网关提供了第一版签名“阿里云APP”的认证方式。
image

随后随着移动用户逐渐增多,这使API网关不仅要提供对Websocket、HTTP2.0等协议的支持,优化API认证方式。于是推出了“OpenID Connect & 阿里云APP”的认证模式,通过Appkey+Token(用户的登录名/密码获取的)模式来认证API请求,这样不仅仅增加了安全性,还保留了API请求鉴权、APP级别的流量控制等。

然而还有一部分用户的问题没能解决,APP会存在反编译的风险,纯前端Js、Ajax调用不能存储Appkey,且复杂的签名让其计算困难。并鉴于更多的用户开始使用HTTPS,于是阿里云API网关推出了标准的OpenID Connect模式。

image

这个模式的特点:

  1. 更安全:客户端不需要存储任何安全的信息,即使token丢失也只会损失这一个用户的信息;且token具备时效性,会在很短的时间内失效。让前端的js或者APP更安全的使用API
  2. 更简单:不需要进行复杂的签名

使用这个模式的要求

  1. APP或者前端程序需具备登录态,也就是说,用户需要通过用户名密码登录您的程序或应用
  2. 为了保证不让Token失效而让用户跳出登录,当Token过期时可以由程序自动发起获取Token的操作

注意事项

  1. 为了保证用户名密码的安全,建议要使用加密协议发起用户名/密码获取Token的操作
  2. 为了保证安全应给Token设置时效性,时间长短可以视业务要求而定,不宜过长,过长会存在安全问题。也不宜过短,过短会损伤程序性能
  3. 为了避免用户名/密码被暴力破解,建议配置流量控制。可以视密码强度而定,控制不宜过小或过大。

这仅是API网关为移动应用、前端程序安全调用API提供的认证方式之一,使用方法请参照:OpenID Connect认证,还会推出更多的安全认证方式。

也可以加入API网关客服服务的钉钉群:11747055

目录
相关文章
|
XML JSON 安全
OAuth vs SAML vs OpenID:了解它们之间的差异
身份验证允许进入系统,而授权允许访问同一系统内的特定功能。安全断言标记语言 (SAML) 是一种开放标准,它试图弥合身份验证和授权之间的鸿沟。
|
3月前
|
Rust API Go
API 网关 OpenID Connect 实战:单点登录(SSO)如此简单
单点登录(SSO)可解决用户在多系统间频繁登录的问题,OIDC 因其标准化、简单易用及安全性等优势成为实现 SSO 的优选方案,本文通过具体步骤示例对 Higress 中开源的 OIDC Wasm 插件进行了介绍,帮助用户零代码实现 SSO 单点登录。
469 10
|
4月前
|
JavaScript 前端开发 Linux
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
|
4月前
|
API
【Azure Developer】记录一段验证AAD JWT Token时需要设置代理获取openid-configuration内容
【Azure Developer】记录一段验证AAD JWT Token时需要设置代理获取openid-configuration内容
|
6月前
|
存储 中间件 数据安全/隐私保护
中间件中OAuth 2.0 和 OpenID Connect
【6月更文挑战第4天】
279 5
EMQ
|
JSON 安全 算法
深入解析 MQTT 中基于 Token 的认证和 OAuth 2.0
本文将深入了解基于 Token 的认证和 OAuth 2.0,阐述它们的原理并展示它们在 MQTT 中的应用。
EMQ
371 0
深入解析 MQTT 中基于 Token 的认证和 OAuth 2.0
|
安全 数据安全/隐私保护 开发者
构建安全的身份认证系统:OAuth和OpenID Connect的实践
在当今的互联网世界中,安全的身份认证是保护用户隐私和数据安全的重要组成部分。OAuth和OpenID Connect是两种常用的身份认证协议,本文将介绍它们的原理和实践,以及如何在应用程序中集成和使用它们来构建安全的身份认证系统。
372 0
|
存储 JSON 算法
「应用安全」OAuth和OpenID Connect的全面比较(上)
「应用安全」OAuth和OpenID Connect的全面比较
|
存储 JSON 安全
「应用安全」OAuth和OpenID Connect的全面比较(下)
「应用安全」OAuth和OpenID Connect的全面比较
|
存储 开发框架 安全
微服务系列之授权认证(一) OAuth 2.0 和 OpenID Connect
这些年围绕着授权鉴权(authorization)和身份验证(authentication)诞生了很多规范和协议。这里只讨论最主流的最新的规范和协议:OAuth2.0、OpenID Connect、JWT。8