业务系统高级设置
1 介绍
业务系统除了基础设置外,还提供了高级设置用于更细致地控制应用程序的行为和安全性。
2 使用场景
访问令牌签名算法
使用场景: 提高访问令牌的安全性,防止篡改。
案例: 某公司希望确保其API的访问令牌未被篡改,选择RS256算法对访问令牌进行数字签名,以便每个访问令牌都能被验证其完整性和真实性。
ID 令牌签名算法
使用场景: 增强ID令牌的安全性,确保身份验证信息的真实性。
案例: 某在线学习平台使用飞网IAM进行用户身份验证时,选择ES256算法对ID令牌进行签名,以确保学生和教师的身份信息未被篡改。
授权响应签名算法
使用场景: 确保授权响应的完整性和真实性,防止授权数据被篡改。
案例: 某银行应用在授权流程中使用JWT响应模式,选择PS256算法对授权响应进行签名,确保授权数据的安全性和完整性。
授权数据类型
使用场景: 设定业务系统支持的授权数据类型,例如JWT、SAML等。
案例: 某企业内部管理系统选择JWT作为授权数据类型,确保所有授权数据都以标准化的JSON格式进行传输和验证。
响应类型
使用场景: 设定授权处理流程中从端点返回的参数,支持多种响应类型。
案例: 某社交媒体应用使用OAuth 2.0进行授权,选择code id_token响应类型,以便在授权码和ID令牌中返回用户身份信息。
令牌有效时间
使用场景: 设定令牌的有效期,确保令牌在合理时间内失效,提升安全性。
案例: 某电商平台将访问令牌的有效期设置为1800秒(30分钟),确保用户会话在一定时间内需要重新验证,提高安全性。
是否需要 DPoP?
使用场景: 增强OAuth访问和刷新令牌的安全性,通过DPoP确保业务系统的合法性。
案例: 某金融应用选择启用DPoP,以确保只有被认可的业务系统能够使用访问令牌和刷新令牌,从而防止滥用。
是否需要 DPoP Nonce?
使用场景: 增强DPoP的安全性,通过Nonce限制证明的生命周期。
案例: 某健康应用启用DPoP Nonce,确保DPoP证明只能在短时间内有效,防止重放攻击。
DPoP Nonce的有效时间
使用场景: 设定DPoP Nonce的生命周期,进一步提高安全性。
案例: 某在线支付系统将DPoP Nonce的有效时间设置为60秒,确保每个DPoP证明在一分钟内必须使用,从而提升整体安全性。
3 高级设置
1、点击"高级设置"菜单,进入业务系统高级设置页面。
包括:
访问令牌签名算法:用于指定访问令牌签名算法,即用于对访问令牌进行数字签名的算法。
ID 令牌签名算法:指定ID令牌的签名算法,ID令牌是OAuth 2.0和OpenID Connect中用于身份验证的令牌。
授权响应签名算法:在响应模式为JWT时,指定用于对授权响应令牌进行签名的算法。
授权数据类型:指定业务系统支持的授权数据类型。
响应类型:指定授权处理流程,包括从端点返回的参数,例如,包括code、code id_token等选项。
令牌有效时间:设定令牌的有效期(以秒为单位),默认值为30分钟。
是否需要 DPoP?:确定是否需要使用DPoP(Demonstrably Proof of Possession)来限制OAuth访问和刷新令牌。
DPoP(应用层证明拥有机制)是OAuth中的一种安全技术,通过让业务系统证明自己持有一对公私钥来确保只有身份认证服务器(飞网IAM)认可的合法业务系统才能使用由该身份认证服务器颁发的访问令牌和刷新令牌。
是否需要 DPoP Nonce?:飞网IAM是否需要使用DPoP Nonce来限制DPoP证明的生命周期。
DPoP Nonce的有效时间:设定DPoP Nonce的生命周期(以秒为单位)。