Как защитить URL фреймворка ботов от прямого доступа

Question

Мы планируем использовать среду ботов Microsoft для разработки бота для корпоративных пользователей, как только они войдут на наш корпоративный веб-сайт, они смогут увидеть бота.Как мы защищаем URL-адреса ботов от общедоступных.Как я могу убедиться, что только корпоративные пользователи, вошедшие в сеанс, получат доступ к Bot.

Прошел через некоторую документацию, предоставленную Microsoft, такую ​​как механизм токенов по прямому каналу, но все же я не созван.У кого-нибудь есть эталонная диаграмма архитектуры для того же?Или вы когда-нибудь реализовывали такое решение?

Answer 1

Я предполагаю, что вы имеете в виду конечную точку вашего бот-приложения (например, /api/messages)?

Когда вы используете бот-сервис Azure (ABS), который перенаправляет весь входящий трафик через один из многочисленных каналов, которые онподдерживает.Затем само приложение бота получает входящие запросы в виде нормализованных действий по протоколу ABS Connector.Это сообщение защищено через HTTPS и аутентифицировано токенами JWT, которые подписаны и проверяемы.

Теперь, при использовании Bot Builder SDK (BBSDK), BBSDK проверит входящий токен JWT, чтобы убедиться, что он правильно подписан.Это делается путем получения открытого ключа из документа метаданных, который, как он знает, происходит от действительного (DNS / SSL'd) имени хоста, а затем проверяет подпись с открытым ключом.Таким образом, он знает, что входящий запрос действительно от АБС, и может доверять ему.