Alternativa all'autenticazione del certificato client con HTTP / 2

3

Al momento stiamo lavorando per migliorare un'applicazione Android che si connette a un'API del servizio app di Azure utilizzando certificati client e token al portatore per l'autenticazione su TLS 1.2.

Stiamo studiando il passaggio a HTTP / 2 per larghezza di banda e amp; requisiti di prestazione. Lo standard HTTP / 2 non ha implementazioni per l'autenticazione del certificato client.

Vogliamo ancora un livello aggiuntivo accanto all'autenticazione del token al portatore. Quali sono le opzioni valide e sicure da esplorare per rafforzare la nostra API?

L'aggiunta di un nonce è una possibile soluzione per bloccare le richieste dannose, ma vorremmo limitare l'accesso pubblico alla nostra API.

    
posta Preben Huybrechts 13.06.2018 - 08:52
fonte

1 risposta

0

Abbiamo risolto questo problema utilizzando le restrizioni IP del servizio app di Azure. Questo è stato possibile solo perché controlliamo tutti i clienti.

    
risposta data 03.09.2018 - 07:49
fonte

Leggi altre domande sui tag