我正在寻找有关我的应用程序的“代理”身份验证的一些建议。即在我的应用程序的前端和后端使用相同的身份验证。该体系结构由DropWizard后端API和NodeJS前端组成。
目前,该前端受Google OAuth保护并且运行良好。但是,后端仅受基本身份验证保护。 NodeJS服务器中嵌入了基本的身份验证凭据,以允许后端调用,这不是一个很好的解决方案。
我想知道是否有办法将OAuth凭证/令牌从前端传递到后端,这样我就可以更安全地锁定后端。另外,在后端保留基本身份验证,或者使用curl从命令行进行OAuth后端api调用是很好的。
答案 0 :(得分:0)
另一种方法是使用VPC之类的东西将后端服务器保存在安全的网络上。为您的前端提供面向公众的IP,但保持后端内部,并且只接受来自该前端服务器的后端请求,或仅接受来自内部网络的请求。然后,您不需要在后端进行任何身份验证,您可以使用VPN或安全网络上的其他计算机访问它。