- Joined
- Dec 26, 2017
- Messages
- 576
- Reaction score
- 183
View attachment 7857
Разработчики компании Cloudflare рассказали об инструменте для защиты API при подключении через VPN. Cloudflare Access позволяет приложению контролировать каждого пользователя при прохождении авторизации. Он закрывает доступ к конфиденциальной информации (частным ключам и журналу событий) пользователям, при этом владелец API может настраивать доступ участников команды к данным.
Защита API
Cloudflare Access проверяет токен (JSON Web Token) при выполнении запроса через браузер или командную строку. Инструмент подписывает токен в момент успешной авторизации поставщика идентификатора. Токен содержит идентификационные данные и данные о сессии. Проверяя его, сеть Cloudflare разрешает или ограничивает доступ к приложению.
Авторизация
Вход через браузер перенаправляет пользователя к поставщику идентификатора, а данные токена хранятся в cookie-файлах. В то же время инструмент Cloudflare CLI помогает авторизоваться с помощью командной строки. cloudflared открывает окно браузера для авторизации через поставщик идентификатора, после чего Access создаёт токен. Второй вариант доступен в бета-режиме, а правила использования описаны на странице.
Вместо его размещения в cookie-файлах, он передаётся на устройство, поэтому повторная авторизация не требуется. Время действия токена пользователь задаёт в настройках Cloudflare Access. Во время запроса Access ищет HTTP-заголовок cf-jwt-access-assertion вместо cookie-файлов. При использовании c URL cloudflared использует подкоманду для вставки токена в заголовок.
Использование cloudflared обусловлено двумя причинами:
Начало использования инструмента пошагово описано в документации. Перед этим необходимо добавить в Cloudflare имя хоста, на котором развёрнут API. Пользователь лично создаёт сконфигурированную политику для различных путей HTTP API. Cloudflare Access отслеживает каждый запрос и принимает или отклоняет его согласно заданным правилам.
А недавно в конце сентября Cloudflare добавила в свою сеть доставки контента поддержку TLS-расширения ESNI. Оно передает имя хоста при HTTPS-соединении пользователя в зашифрованном виде и таким образом затрудняет отслеживание трафика.
Разработчики компании Cloudflare рассказали об инструменте для защиты API при подключении через VPN. Cloudflare Access позволяет приложению контролировать каждого пользователя при прохождении авторизации. Он закрывает доступ к конфиденциальной информации (частным ключам и журналу событий) пользователям, при этом владелец API может настраивать доступ участников команды к данным.
Защита API
Cloudflare Access проверяет токен (JSON Web Token) при выполнении запроса через браузер или командную строку. Инструмент подписывает токен в момент успешной авторизации поставщика идентификатора. Токен содержит идентификационные данные и данные о сессии. Проверяя его, сеть Cloudflare разрешает или ограничивает доступ к приложению.
Авторизация
Вход через браузер перенаправляет пользователя к поставщику идентификатора, а данные токена хранятся в cookie-файлах. В то же время инструмент Cloudflare CLI помогает авторизоваться с помощью командной строки. cloudflared открывает окно браузера для авторизации через поставщик идентификатора, после чего Access создаёт токен. Второй вариант доступен в бета-режиме, а правила использования описаны на странице.
Вместо его размещения в cookie-файлах, он передаётся на устройство, поэтому повторная авторизация не требуется. Время действия токена пользователь задаёт в настройках Cloudflare Access. Во время запроса Access ищет HTTP-заголовок cf-jwt-access-assertion вместо cookie-файлов. При использовании c URL cloudflared использует подкоманду для вставки токена в заголовок.
Использование cloudflared обусловлено двумя причинами:
- Настраиваемый доступ для определённых пользователей. Владелец настраивает доступ к конечным точкам для ограниченной группы пользователей. Остальная информации будет доступна для всей команды.
- Загрузка конфиденциальной информации. Вместо траты времени на поиск данных через интерфейс, владелец может скачать конфиденциальную информацию при помощи командной строки. Достаточно знать адрес её размещения.
Начало использования инструмента пошагово описано в документации. Перед этим необходимо добавить в Cloudflare имя хоста, на котором развёрнут API. Пользователь лично создаёт сконфигурированную политику для различных путей HTTP API. Cloudflare Access отслеживает каждый запрос и принимает или отклоняет его согласно заданным правилам.
А недавно в конце сентября Cloudflare добавила в свою сеть доставки контента поддержку TLS-расширения ESNI. Оно передает имя хоста при HTTPS-соединении пользователя в зашифрованном виде и таким образом затрудняет отслеживание трафика.