Strumenti Utente
Sicurezza
Il microservizio di autenticazione fornirà un'api di verifica dei token, che consentirà di:
- verificare l'identità del possessore dello stesso
- verificare le capabilities associate allo stesso
Ogni microservizio in produzione integrerà dei controlli di sicurezza CORS che limitino i verbi HTTP a quelli implementati, più quello di preflight, limiteranno l'utilizzo degli header, e limiteranno l'origine delle richieste allo stesso dominio. Per chiamare un microservizio da un dominio terzo sarà necessario passare attraverso un aggregatore server-side che, in quel caso, riutilizzerà il token del client e non la propria autenticazione. Ogni microservizio potrà (e sarà incoraggiato a) cachare identità e capabilities associate a un token. In caso di modifica delle stesse il microservizio riceverà i permessi aggiornati all'aggiornamento del token (sia esso automatico per scadenza naturale e rinnovo, o forzato tramite logout/login o riavvio di un client).
Strumenti Pagina
