我们当前的RESTFul api分两步对请求进行身份验证和授权:
1)我们使用JwT承载令牌认证(与Identityserver 3集成),并且已经使用数据库实现了自定义授权。所有这些都通过Https实现。
2)接下来,我们还要进行IP地址检查,在该检查中,我们检查传入请求的IP地址,并将其与我们维护的白名单IP地址列表进行匹配。
现在,我们正在尝试摆脱进行第二级检查的IP地址方式,并以另一种方式替换它。
我的问题是:HMAC是否适合进行第二级检查?我有点犹豫,因为我们已经有了令牌身份验证,因此不确定HMAC二级检查方式是否会为此添加任何值,作为二级检查。另外,不确定如何发送令牌以及HMAC字符串作为Authentication标头的一部分。
您能否也请让我知道IP地址验证的哪些好替代品,作为我们构建RESTful Web api的第二级检查。
谢谢!
-斜坡