Безопасное хранение идентификатора клиента / клиента на веб-сервере приложения

Question

Я недавно начал изучать аутентификацию с помощью активного каталога Azure с использованием гранта учетных данных клиента с открытыми / закрытыми сертификатами, как подробно описано здесь: https://docs.microsoft.com/en-gb/azure/active-directory/develop/v1-oauth2-client-creds-grant-flow

Я использую внешний сервер PHP / LEMP вне платформы размещения Azure и т. Д. И т. Д.

Мне удалось успешно установить соединение с рекламой Azure, как показано ниже:

Вопрос в том, как мы храним учетные данные, чтобы я мог на самом деле сделать авторизацию. Ирония в том, что мне нужно хранить эти учетные данные, чтобы я мог получить к ним надежно сохраненные данные в хранилище ключей! Так что мне просто интересно, есть ли у кого-нибудь рекомендации по хранению:

• ID Теннанта
• ID клиента
• Область действия Uri (я думаю, я должен включить это в, поскольку это id / guid как таковой)

Безопасно ли хранить эти значения в виде простого текста в базе данных сайтов? Вы бы порекомендовали переменные среды? Просто интересно, что люди подходят к этому.

Большое спасибо!

Answer 1

Я бы посоветовал вам хранить эти переменные в хранилище ключей, это наиболее безопасный вариант. Однако, очевидно, что вам нужны ключи для доступа к хранилищу ключей.

Если вы запускаете свое веб-приложение в Azure, это будет легко. Вы можете использовать управляемую идентификацию, чтобы присвоить идентификацию своему веб-приложению, и предоставить этот доступ KV, готово. Если вы работаете вне Azure, следующим лучшим методом будет создание субъекта службы, который аутентифицируется с помощью сертификата, предоставление этому субъекту доступа к хранилищу ключей, затем сохранение закрытого ключа на веб-сервере и использование его для аутентификации. См. здесь для получения подробной информации о создании субъекта службы.