Что это считается плохой практикой безопасности / нарушением?

Question

1. Служба A имеет ключ для связи со службой B
2. Служба B имеет конечную точку API HTTPS для запуска задания, а потребитель конечной точки через API передает строку подключения очереди сообщений.куда отправить метаданные задания после его завершения.

Таким образом, A полностью отделен от B. Но безопасно ли это?

Answer 1

Таким образом, A полностью отделен от B.

Чтобы полностью разделить A и B, вы можете добавить дополнительную службу для проверки действительности ключа, который вы использовали для доступа к службе B. Таким образом, обе службы могут проконсультироваться с вышеупомянутой службой аутентификации для управления и проверки жизненного цикла ключей, которые используется в целях доступа. Реализация зависит от используемой реализации аутентификации / авторизации (JWT, OAuth и т. Д.).

Но безопасно ли это?

Безопасность не может быть гарантирована только путем отделения службы, но вы должны учитывать множество аспектов (транспорт, база данных, серверное оборудование, сеть и т. Д.). Можете ли вы предоставить более конкретные детали этого?