私はAzureクラウドでホストされている.NET Web APIアプリケーションを構築しています。これは企業のイントラネットでホストされている別のAPIを使用する必要があります。私がのAPIをの両方に構築しているとします。サーバーtoサーバーエンタープライズAPIセキュリティ
クライアント= Azureの.NETのWeb API サーバー=イントラネットAPI
私は、サーバーへのクライアントからの要求を保護する最も安全な方法を知っておく必要があります。私が上陸してきたのはここです:
- 2足歩行型のOAuth
- 相互TLS
- は、ユーザー名/パスワード
私は、しかし、私は感じて、それのシンプルさとトークンのアプローチのために2本足のOAuthのが好きこれは、秘密鍵が侵害された場合、全体のアプローチが壊れてしまうという事実のため、安全ではありません。
ほとんどの作業でも、相互TLSが最も安全なようです。
ユーザー名とパスワードは、もはや関連していないようです(または前の2つのものと同じように)。
質問質問:私は相互TLSに固執していますか、私の前提に間違いはありますか?また、私は取ることができる別のアプローチはありますか?
免責事項 - これに似た記事がありますが、それぞれのセキュリティレベルを詳細に感じることはできません。