我的组织正在使用 AWS WAF 为我们的测试堆栈添加防火墙。我们希望将我们构建的 SDK 中的所有流量列入白名单,以方便我们服务之间的请求。
我们考虑使用自定义的“X-”请求标头来执行此操作,然后使用 AWS WAF 的正则表达式匹配条件根据“难以猜测”的模式进行检查。
我理解这只能提供最低程度的保护;其目的是防止搜索引擎随机浏览或让任何知道 URL 的人轻松访问。也就是说,我们不需要也不期望通过这种方式来防范知情或有动机的攻击者。
我在网上找不到这样的先例。有没有类似的例子,或者有没有更好的方法来实现与我们的目标类似的目标?(不是有意义的安全性,而是对请求来源的第一点信心)
答案1
你所描述的本质上持有者令牌身份验证- 客户端必须出示有效的令牌,否则将被拒绝访问。
关于这个令牌的具体内容,几乎没有任何规则 - 它可以是一个 base64 编码的随机字符串服务器和客户端都知道,或者它可以在里面编码一些身份验证数据,例如JWT 令牌。就您而言,您可以简单地生成并编码一个随机字符串(大约 32 个字符)并将其用于基本身份验证。
不用说,这应该只在 HTTPS 上使用,以防止任何人窃听纯文本流量。然而,现在所有的网站都应该仅使用 HTTPS所以这是一个没有实际意义的问题 ;)
另一方面,如果您的测试人员来自已知位置,您应该简单地在测试堆栈上列出批准的 IP 白名单,并拒绝来自其他地方的任何人。
希望有帮助:)