2.10オブジェクト指向分析設計手法の開発・インタフェース認証機能
2.10.1要求分析
需要が提案されています:
「セキュリティインターフェース呼び出しを確保するために、我々はデザインインターフェイスは、我々が拒否されるインターフェイスなし認定システムコール、私たちのインターフェースを呼び出すためにのみ、システムの認証後、認証機能を呼び出していない達成したいと考えています。私はあなたに来てほしいです、のためのオンラインできるだけ早く開発タスクの担当インチ "
最初のラウンドの分析に基づいて:ユーザー名とパスワードによる認証を行います。
当社のサービスへのアクセスを許可する各呼び出し側、分散アプリケーション名(またはアプリケーションIDと呼ばれる、のAppID)と対応するパスワード(または秘密鍵と呼ばれます)。呼び出し側が各インターフェイスを要求したときに、独自ののAppIDとパスワードを運びます。マイクロサービスは、通話要求インターフェースを受け取った後、ストレージとマイクロのAppIDの終わりとパスワードでサービスを比較するために、AppIDのパスワードを解析します。彼らは、認証が成功したことを示す、一貫している場合は、コール要求インターフェースが許可され、それ以外の場合は呼び出しインタフェースの要求を拒否しました。
解析と最適化の第二ラウンド:クリアテキストのパスワードは安全ではありません。(例えばSHAなど)の暗号化アルゴリズムでは、パスワードとのAppIDは、暗号化した後、認証システムがまだあること(またはハッカー)ができないため、安全ではないマイクロサーバ認証に渡され、その後、パスワードを暗号化し、認証されていない傍受システムが運ぶことができると認定システムを装った暗号化後の対応するパスワードのAppIDは、私たちのインターフェイスにアクセスします。**これは**、典型的な「リプレイ攻撃」です。
トークン検証:呼び出し側はパスワードが一緒にインターフェイスをスプライスし、その後、トークンを生成するために暗号化され、AppIDをしてURLを要求しました。APPID一緒にトークンサーバを通過し、サーバが同じトークンが比較を行うトークン着信クライアント認証で暗号化されていることにより、生成されたパスワードに応じてデータベースから削除、それは満場一致矛盾拒否のappid。
グラフTBサブグラフクライアント端末A(1トークンを生成します。SHA - のhttp // IP :?ポート/ユーザID = 123&APPID = ABC&PWD = pwd123):のhttp // IP:ポート/ユーザIDがB(2新しいURLを生成? = 123&APPID = ABC&トークン= XXX) - データベースからパスワードを対応のAppID取らURL \のAppID \トークン)D解析..> B端サブグラフサーバ端末C(3(4)E(5サーバ側token_sを生成します)。 F1 F2(6回の拒否アクセス。)B(6可能アクセス) - エンド・アクセス・サーバ - > CC - > DD - > EE --token等しいtoken_s - > F1 E --token等しくありませんtoken_s-- > F2の終わり