【发布时间】:2016-04-06 02:34:16
【问题描述】:
我们正在开发身份验证服务(使用 identityServer),我们希望使用存储在 Azure Key Vault HSM 中的私钥对返回给用户的 JWT 令牌进行签名
我们的域由数百万用户组成,他们预计平均每小时调用一次身份验证服务(因此也是密钥库)
根据 Microsoft 文档,密钥保管库服务限制为每秒 100 次调用。见:https://azure.microsoft.com/en-us/documentation/articles/key-vault-service-limits/
我们是否按照我们的设想使用 Azure Key Vault?看来 Key Vault 交易量很低。
【问题讨论】:
-
在这种情况下有些奇怪。您每小时有数百万个用户身份验证?如果是,那么您可能需要多个保管库,或者按照 Michael 的回答中的建议联系 Microsoft。
-
为什么你觉得这个场景很奇怪?这是一个移动应用程序,每次用户调用后端时,他都需要使用 outth 令牌来完成。 IdentityServer 向用户提供令牌(由 keyvailt 签名),有效期为一小时
-
并不奇怪,只是不常见。听起来像是拥有如此庞大用户群的大型产品。顺便说一句,1小时后会发生什么?应用程序会再次要求用户提供凭据(密码、密码等)吗?
-
如果token过期,下次调用后端会申领新token
-
您使用现有的刷新令牌获得了新的访问令牌,对吧?您真的需要使用 HSM 密钥对每个访问令牌进行签名吗?我认为只需使用 HSM 密钥签署长期刷新令牌就足够了。访问令牌可以使用您自己的密钥进行签名,而这又由 HSM 密钥签署,就像 Michael 建议的那样。
标签: azure