我正在构建一个托管在 Azure 云中的 .NET Web API 应用程序,它需要使用托管在公司 Intranet 中的不同 API。假设我正在构建两个API。
客户端 = Azure .NET Web API 服务器 = Intranet API
我需要知道保护从客户端到服务器的请求的最安全方法。这是我登陆的地方:
- 2-Leged OAuth
- 双向 TLS
- 用户名密码
我喜欢两条腿的 OAuth,因为它的简单性和令牌方法,但是我觉得这是不安全的,因为如果密钥被泄露,整个方法就会被破坏。
相互 TLS 似乎是最安全的,尽管工作量最大。
用户名和密码似乎不再相关(或与前两个一样安全)。
问题我是坚持使用 Mutual TLS,还是我的假设不正确?另外,我可以采取另一种方法吗?
免责声明 - 有类似的帖子,但我觉得他们没有详细说明每个人带来的安全级别,也没有很好地解释为什么他们应该使用一个而不是另一个。