0
我們正在研究移動報告應用程序的認證/授權,該應用程序使用MS Azure Cloud內部運行的內部提供的RESTful Web API服務通過電匯使用每小時/每週/每月的商業敏感數據。 Stormpath的產品看起來很有趣,因爲它似乎對事物的整個身份管理方面提供了一些重型,註冊用戶,驗證他們生產JWT令牌等 否則,我們將不得不編寫自己的身份驗證/用戶數據庫表並有一些管理開銷。用於JWT認證/ Azure授權的Stormpath
我不完全清楚的是Azure提供的當前不安全,未經身份驗證的原型API需要與Stormpath相交。 任何人,特別是那些熟悉斯托馬斯的人能詳細說明嗎?
我得到所有的用戶註冊,密碼恢復用例將通過Stormpath去,我猜測爲用戶創建JWT令牌將需要我們現有的服務與Stormpath對話。我們的RESTful調用的HTTP(S)頭部中的令牌的驗證是否由我們的Azure服務在本地(通過某個代碼插件)完成,如果是,則是在本地完成驗證,或者每個RESTful調用是否具有代理調用的副作用Stormpath API來驗證令牌的好處?
我想我對性能敏感問題有關的Web API管線內的整個令牌驗證步驟。
我已經在其他地方看到,微軟自己有一個產品,即Azure AD B2C,它似乎還沒有生產準備好美國/北美以外的地區。 除了Stormpath這樣的外包服務外,我們還應該考慮其他什麼?
一兩件事,看起來大約像Stormpath吸引人的是雙因素身份認證的可能性。 尚未進行太多分析,典型的使用案例情況是,註冊或密碼恢復將要求向用戶的預先註冊的智能手機號碼發送短信,以提供更強的驗證,以確認他們(及其預先註冊的設備)是使用RESTful服務消費和可視化商業敏感數據的移動應用程序的預期用戶。