我目前在为 ChatBot 创建 iFrame 时遇到问题。
情况如下。用户 A 想要将我的 ChatBot 嵌入到他的网站www.websiteUserA.com上。当用户 A 访问 myapp.com 并使用 Google Auth 安全登录时,我的后端会识别他。
现在的问题是,访问www.websiteUserA.com的用户 A 的客户也需要被识别为用户 A 的客户。为此,我想到引入一个 jwt,我可以使用以下设置声明我可以稍后在提出请求时进行检查和验证。
现在的问题是,如果我以任何形式向前端公开令牌。任何人(“黑客”)都可以识别为“用户 A 的客户”,理论上可以在自己的网站上使用 ChatBot,同时让用户 A 负责所有使用。
遗憾的是,在任何情况下都不可能允许如此简单的冒充。
为了解决这个问题,我考虑引入用户A可以设置的允许域。因此,www.websiteUserA.com应该是唯一允许向我发送该 jwt 令牌的域。遗憾的是,请求推荐很容易被欺骗。
另一个解决方案是可能只与用户 A 的后端通信。用户 A 将从我这里收到一个 API 密钥,负责管理和重新发行这些 JWT 令牌。这将确保令牌永远不会到达前端。然而,由于可用于托管和管理www.websiteUserA.com 的架构不同,该设置可能非常不直观,更不用说增加用户 A 后端服务器上处理所有这些请求的负载了。
我还想到了最后一个解决方案。也就是在 Flask 会话中包含 jwt 令牌(我的 webAPP 使用 Flask)。Flask 会话通过以下参数进行保护:
app = Flask(__name__)
csrf = CSRFProtect(app)
app.config['SECRET_KEY'] = SECRET_KEY
app.config['PERMANENT_SESSION_LIFETIME'] = timedelta(minutes=30)
app.config['SESSION_COOKIE_SECURE'] = True
app.config['SESSION_COOKIE_HTTPONLY'] = True
app.config['SESSION_COOKIE_SAMESITE'] = 'None'
目标是让提取 jwt 令牌变得“更难”。这应该不是不可能的,但这些参数将有助于保护令牌免受 JavaScript 和 XSS 攻击。
你能帮我么?我不知道应该如何保护我的应用程序,因为无论我选择什么方法,我仍然发现自己很容易受到攻击。有人可以推荐我更好的方法吗?大型科技公司如何做到这一点?我想谷歌、Facebook 或任何其他大公司都会很容易地解决这个问题。
我只是想提供尽可能安全的服务:D。