من در حال ساختن برنامه ای هستم که کاربران باید دسترسی به برخی از خدمات api را محدود کنند. من از gRPC به عنوان API استفاده می کنم. در حال حاضر من از شماره موبایل کاربر می پرسم ، برای او یک پیامک با کد ارسال کنید که وی باید آن را تأیید کند. اگر…
مجوز AWS Appsync – چرا مجوز IAM از رویکرد مبتنی بر API Key امن تر است
ما در حال ارزیابی هستیم که کدام نوع مجوز برای استفاده از API های AppSync برای تولید ما استفاده می کند. طبق اسناد AWS (https://docs.aws.amazon.com/appsync/latest/devguide/securance.html ، https://aws.amazon.com/blogs/mobile/using-multiple-authorization- انواع-با-aws-appsync-Graphql-apis /) ، AppSync از چندین نوع مجوز پشتیبانی می کند – مانند کلید API مبتنی بر (عبور از یک کلید API استاتیک) ، بر اساس نقش IAM.…
امنیت حساب – آیا ذخیره یک راز JWT به عنوان متغیر docker env قابل قبول است؟
فکر نمی کنم نه تنها مخفی کردن JWT بلکه انواع مخفی مانند کلیدهای ssh ، گذرواژهای دیتابیس / نام کاربری و غیره در docker ENV ایده آل یا توصیه نمی شود. شما می توانید Docker Secret برای این نوع موارد استفاده کنید. . اگرچه من مطمئن نیستم که چگونه پرونده docker را در مورد استفاده…
احراز هویت – بهترین روش CSRF / CORS برای برنامه های جهانی چیست؟
من با استفاده از وب واکنشی بومی و واکنشی بومی ، یک برنامه جهانی تهیه می کنم. نقطه پایانی Graphql برای عموم آزاد است. می دانم که CORS / CSRF برای برنامه های تلفن همراه کاربرد ندارد. اما من همین برنامه را با استفاده از re-native-web در مرورگر اجرا می کنم. بنابراین من باید از…