媒体BuzzFeed开源其受Google身份识别代理(Identity△Aware△Proxy)启发所发展的单一登入认证代理(Single-Sign-On△Authentication△Proxy,SSO),以支援员工全球化的工作模式,为旗下多应用程序网站提供单一登入服务。
由于BuzzFeed的软件生态系由数百个互相交互的微服务组成,部分这些应用程序会在网络上公开,有权限的人才可登入使用。BuzzFeed提到,由于全球员工成长,将工具曝露在网络上,供内部员工使用的需求明显成长,因此安全方便的身份认证需求也跟着增加。
为了建立真实单一来源的身份,BuzzFeed过去使用了Bitly的开源Oauth2_proxy服务,这个反向代理使用第三方包括Google或是GitHub等OAuth2供应商服务来认证并授权请求,BuzzFeed以Oauth2_proxy加速应用程序的开发,让开发人员不需要每次建置服务,都要重新实作身份验证功能。过去有一段时间BuzzFeed大量的使用Oauth2_proxy解决方案,但是随着服务成长,发现可扩展程度不如预期发展。
BuzzFeed提到,对营运商来说,要管理爆炸成长的样板授权代理服务非常的困难,身份验证功能的关键安全性修复程序,需要进行超过百次的补丁和部署,因为每一个受保护的微服务都有自己认证代理服务,使得控制这些服务存取,成为一项很大的挑战。而可扩展性也不是只有系统营运和开发会遇到,对终端用户也会造成困扰,这些用户需要单独登入每个应用程序,让工作流程过于繁瑣,而且也养成盲目点击OAuth2登录流程的坏习惯,员工容易遭受钓鱼攻击。
BuzzFeed自行开发了SSO来解决这个问题,现在使用者只要登录一次,就能够授权存取所有的应用程序。SSO由sso-auth以及sso-proxy两个部分组成,分别执行巢状授权流程以及代理请求,sso-auth是一个中央授权服务,可以直接通过第三方服务完成OAuth流程。sso-proxy则能确保所有请求都经过授权,才将使用者请求导至上游服务。
用户第一次登入受SSO保护的网站时,会被转址到sso-auth进行认证,当用户存取另一个受SSO保护的网站时,浏览器会先被转址到sso-auth,由于身份已经过验证,便会进行自动登入,接着被导向sso-proxy。SSO不只让员工登入应用程序变得更容易,而且现在开发人员维护身份验证服务的安全性也更轻松,只需要修复一个地方就可以了。
iThome△Security
I 相关 / Other
英特尔禁止外界公布漏洞修补对PC的效能影响,引发开源阵营批评
示意图,与新闻事件无关。 接连爆发重大漏洞Spectre、LT1F后,英特尔释出更新微机码来修补。不过由于修补程式可能影响PC效能,开发人员指控,英特尔不准他们将系统效能标竿测试的情况公布出来。英特尔则在稍晚出面
IoT双周报第47期:要用5百万英里制作自驾公路地图,美自驾车软件新创Comma.ai将开源HD高精度地图
美自驾车软件新创Comma.ai正利用这些已安装自驾软件openpilot的后装汽车,来搜集全美州际高速公路数据,至今里程数已累积超过500万英里,并且每周以新增75,000英里道路数据持续更新。 08/11~08/24精选IoT新闻?自驾
示意图,与新闻事件无关。 微软周二直指俄罗斯企图干扰美国期中选举,借设立冒充共和党、参议员及智库的网站诱使受害者上钩。微软数位犯罪小组(Digital△Crimes△Unit)上周声请法院查缉并移交了6个由骇客组织Fan
五大经典 Apple 产品造型揽枕众筹网站集资 | 香港 UNWIRE.HK 玩生活.乐科技
很多人家中都有不少 Apple 的电子产品,但要收集具有标志性的经典产品,例如 Apple II 和 iMac,除了要有钱,还要家中有收藏的地方。最近一间公司 Throwboy 决定将 Apple 五件经典产品:Apple II、初代 Macintosh、i
在GDPR上线之后,欧洲新闻网站的第三方Cookie数量减少了22%
图片来源: Reuters△Institute△for△the△Study△of△Journalism 英国牛津大学的路透新闻研究学院(Reuters△Institute△for△the△Study△of△Journalism)近日发表一研究报告,指出在今年4月与7月,在《欧盟通用资