Статические проблемы безопасности веб-сайта Azure Storage

Question

Я работаю на статическом веб-сайте хранилища Azure. Этот веб-сайт общедоступен и предназначен для выполнения операций с хранилищем Azure (управление мультимедиа - грубые действия). Я боюсь, что, поскольку это приложение на стороне клиента, любой может использовать этот код для выполнения непреднамеренных операций с учетной записью хранилища. Любые мысли, как я могу защитить приложение от этого? Также я ищу решение, чтобы избежать жестко закодированных ключей / токенов SAS, чтобы иметь разрешение на операции с учетной записью хранилища. Я думал об использовании идентификатора управляемого сервиса. Кто-нибудь имел опыт работы с ним, так как он находится в режиме предварительного просмотра?

Answer 1

Определенно не следует ставить ключи или токены SAS на стороне клиента. Как вы говорите, любой может получить это и получить доступ к учетной записи хранения. Одним из решений является использование HTTP-запущенной функции без сервера для генерации токена SAS по мере необходимости. Затем вы можете использовать ограниченный по времени SAS только для тех ресурсов, которые вы хотите сделать общедоступными. В приведенном ниже руководстве показано, как это сделать.

https://docs.microsoft.com/en-us/azure/functions/tutorial-static-website-serverless-api-with-database

Answer 2

Статическая конечная точка сайта только для чтения. Таким образом, клиент не сможет изменить содержание сайта.

В настоящее время статический сайт имеет анонимный доступ. "Добавить oauth" будет добавлено в ближайшее время. Для доступа на чтение, когда сайт будет включен, он будет доступен для всех.

В настоящее время у нас нет поддержки oauth. Любой может прочитать содержимое сайта, если у него есть URI