Saya memiliki pendaftaran aplikasi X dan saya ingin pengguna masuk melalui X ke layanan saya dengan aliran hibah implisit (sebagai aplikasi publik) dan juga memiliki server backend menggunakan sertifikat untuk auth dengan X dan melakukan aliran kredensial klien untuk mengakses penyimpanan internal (sebagai rahasia aplikasi).

Dalam hal ini saya menggunakan kembali aplikasi X yang sama untuk kedua tujuan. Apakah ini praktik yang baik atau adakah kekhawatiran dalam hal keamanan melakukannya?

0
doge 1 Juli 2020, 00:33

1 menjawab

Jawaban Terbaik

Anda dapat menggunakan aplikasi yang sama untuk mengakses layanan yang berbeda. Seperti yang Anda katakan, Anda ingin menggunakan satu aplikasi untuk mendaftar login pengguna akhir dan akses sumber daya back-end. Itu mungkin saat ini, tetapi untuk alasan keamanan, Anda perlu melayani proyek yang berbeda. Buat rahasia klien yang berbeda (dalam pertanyaan Anda, Anda perlu membuat dua rahasia klien untuk aplikasi).

Perhatikan peringatannya, misalnya, jika Anda hanya memiliki satu pendaftaran aplikasi, di aplikasi perusahaan, Anda hanya dapat menyetel satu set pengguna, jadi jika misalnya Anda ingin mengontrol siapa yang memiliki akses ke salah satu aplikasi tetapi tidak lain. Anda tidak dapat melakukannya melalui pendaftaran aplikasi perusahaan. jadi Anda harus melakukannya melalui kode Anda sendiri. Silakan lihat:di sini.

Jadi, secara ringkas, saya sarankan Anda membuat aplikasi yang berbeda untuk proyek yang berbeda, yang lebih mudah untuk dikelola.

0
Carl Zhao 8 Juli 2020, 10:49