Наш текущий RESTFul API имеет двухэтапный процесс аутентификации и авторизации запроса:
1) Мы используем аутентификацию токенов на предъявителя JwT (интегрированную с Identityserver 3), и мы внедрили пользовательскую авторизацию с использованием базы данных. Все это по https.
2) Далее у нас также есть проверка IP-адреса, где мы проверяем IP-адрес входящего запроса и сопоставляем его со списком сохраненных нами белых IP-адресов.
Теперь мы пытаемся избавиться от способа IP-адреса для проверки второго уровня и заменить его другим способом.
МОЙ вопрос: HMAC - хороший кандидат для проверки второго уровня? Я немного сомневаюсь, так как у нас уже есть аутентификация токена, и поэтому я не был уверен, добавит ли HMAC способ проверки второго уровня какое-либо значение к этому, как проверка второго уровня. Кроме того, не был уверен, как мы можем отправить как токен, так и строку HMAC как часть заголовка аутентификации.
Не могли бы вы также сообщить мне, что является хорошим заменителем проверки IP-адреса, в качестве проверки второго уровня при создании веб-API RESTful.
Заранее спасибо!
-Ramp