У меня возникла проблема с настройкой среды микросервиса для обеспечения ее безопасности.
Допустим, мой сервер аутентификации дает мне следующий объект в виде асимметрично подписанного jwt в качестве повара ie , Http только то, что когда-либо. Мой веб-интерфейс находится на domain-a.example.com
{
"kid":"73f5e1a4-0298-4bed-8ce3-b4b577d98672"
}
{
"sub":"a39112d7-bef6-43f5-8692-7be916230f61",
"origin":"github",
"url_id":0
}
А мой бэкэнд на domain-b.example.com содержит следующие данные:
{
"73f5e1a4-0298-4bed-8ce3-b4b577d98672":{
"pulic_key":"<mypublickey>",
"urls":[
"domain-a.example.com"
]
}
}
Было бы достаточно, если Я бы проверил заголовок реферера запроса относительно URL-адреса в индексе, который указан в jwt после того, как jwt был проверен?
Сохранение CSRF, XSS, ...
I в настоящее время не заботится о правильной структуре этих json, так как это больше о концепции.