快速给内部网站添加身份认证
一些企业内部管理网站,往往为了快速上线,没有做身份认证,这就给内部数据泄露带来了很大的风险。但是,要想修复这个问题,却不是那么容易,有可能开发这个网站的同事早就转岗或离职了。
为了解决这个问题,《数据安全架构设计与实战》一书提出了在应用网关统一执行身份认证,并在后端限制访问来源,快速解决这些没有身份认证的问题。
现在,这一理念已在Janusec Application Gateway中落地,支持员工使用企业微信、钉钉、飞书 扫码登录原来可任意访问的内部网站了。
1 配置OAuth2
在Janusec Application Gateway的应用配置界面,勾选启用OAuth2选项。
具体配置,参考:OAuth2身份认证
2 应用如何获取用户身份
Janusec认证通过后,会在HTTP请求的头部添加两行:
Authorization: Bearer Access-Token
X-Auth-User: UserID应用不需要修改即可使用,也可以通过X-Auth-User获取用户身份(企业微信/钉钉/飞书),或者借助Access-Token(企业微信/飞书)获取进一步的信息。
3 验证演示
以配置的某个PHP应用下,放一个http.php文件,内容为:
<?php
$headers = array();
foreach ($_SERVER as $key => $value) {
if ('HTTP_' == substr($key, 0, 5)) {
$headers[str_replace('_', '-', substr($key, 5))] = $value;
}
}
echo '<pre>';
print_r($headers);
?>在Janusec Application Gateway的应用管理中,勾选"Enable OAuth2",启用OAuth2 。
访问该http.php页面,浏览器自动跳转到扫码登录页面,扫码通过后,即可查看到该网页的输出:
Array
(
[HOST] => test.janusec.com
[USER-AGENT] => Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
[ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
[ACCEPT-ENCODING] => gzip, deflate, br
[ACCEPT-LANGUAGE] => zh-CN,zh;q=0.9
[AUTHORIZATION] => Bearer hmaEIdtA_EigLd0q6s1grFMuspVTCme8PEU4SkSeWJAv06Rg6u_PWUdU2g
[COOKIE] => uqcJ_2132_saltkey=r55x3tp5; uqcJ_2132_lastvisit=1582979664; janusec-token=MTU4NTQ1Nzc3NnxEdi1CQkFFQ180SUFBUkFCRUFBQV9_
[X-AUTH-USER] => U2
[X-FORWARDED-FOR] => 192.168.100.1
)可以看到,已添加HTTP头部:
Authorization: Bearer hmaEIdtA_EigLd0q6s1grFMuspVTCme8PEU4SkSeWJAv06Rg6u_PWUdU2g
X-Auth-User: U2后端的网站,可以不用任何修改,就获得了需要通过身份认证才能访问的效果。
同时,后端网站也可以直接使用HTTP头部传递过来的身份信息。
4 退出OAuth2登录
后端网站只需要添加一个退出链接 /oauth/logout ,即可实现退出效果。
5 小结
在接入网关上统一做身份认证,解决的是内部无身份认证网站的改造效率问题,目前该网关支持企业微信、钉钉、飞书 三款企业办公APP扫码登录。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
- 上周热门
- WPS City Talk · 校招西安站来了! 3757
- 服贸会|范渊荣获年度创新领军人物!王欣分享安恒信息“AI+安全”探索 3683
- 有在找工作的IT人吗? 3646
- 字节跳动“安全范儿”高校挑战赛来袭!三大赛道,赢 80 万专项基金! 3604
- 阿B秋招线下宣讲行程来啦,速速报名! 3599
- 字节跳动校招 | 电商业务 2025 校园招聘进行中!五大职类热招,等你来投! 3590
- 麒麟天御安全域管平台升级!为企业管理保驾护航 3575
- 烽火通信2025届校园招聘宣讲行程发布!! 3411
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 3372
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 3343
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 如何玩转信创开放社区—从小白进阶到专家 15
- 信创开放社区邀请他人注册的具体步骤如下 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
