客户端保护令牌漏洞循环困境

问：

很抱歉，这个问题需要很长，以便您可以理解问题，并且它绝对是相对于我的问题的大小而言的，我正在寻求网络安全专家的意见，因此感谢您提前抽出时间。

I） 背景

在Google Analytics的相同上下文中，我的问题，主要目标是从前端收集数据，但我无法访问前端，并且通过添加我的客户端（如Google Analytics）从远程服务器加载到前端的JavaScript脚本。此脚本将数据发布到 API，但请记住，前端没有身份验证过程（例如，将前端想象成一个教程网页）。我的目标是保护这些帖子请求，但我遇到了一个挑战。

问题在于，通常用于身份验证和安全性的仅 HTTP cookie（仅限 HTTP 文档）需要初始身份验证过程来设置令牌的 cookie。这意味着，在进行任何身份验证之前，我想要保护的数据和令牌可能仍可在客户端显示。这是一个重大漏洞，因为它意味着任何有权访问前端的人（包括潜在的攻击者）都可以看到并可能利用此数据。

由于我无法控制前端，因此在客户端实施安全措施（如身份验证或授权）更具挑战性。

II） 已采取的措施

a） 基于令牌的身份验证和源 URL 过滤

鉴于这些资源限制，我为我的 Web 客户端实现了一个短期的基于令牌的身份验证系统。此方法将客户端交互限制为特定的 API 端点，从而实现对客户端请求的控制和监视。此外，我还使用源 URL 过滤来根据传入请求的来源来验证传入请求。

b） 身份访问管理系统

在追求强大的安全解决方案的过程中，我探索了身份和访问管理系统作为潜在的途径。在我考虑过的选项中，Keycloak已成为一个有前途的解决方案。然而，在这种情况下，我遇到了一个反复出现的挑战。

与其他IAM系统一样，Keycloak要求在应用程序中包含敏感数据。例如，Keycloak的初始化需要提供配置详细信息，如下图所示：

import Keycloak from 'keycloak-js';

const keycloak = new Keycloak({
   url: 'http://keycloak-server${kc_base_path}',
   realm: 'myrealm',
   clientId: 'myapp'
});

try {
   const authenticated = await keycloak.init();
   console.log(`User is ${authenticated ? 'authenticated' : 'not authenticated'}`);
} catch (error) {
   console.error('Failed to initialize adapter:', error);
}

您可以在文档中找到所需的所有信息

这种情况给我带来了一个反复出现的难题，因为我发现自己处于一个有点循环的困境中。虽然像Keycloak这样的IAM系统提供了安全增强功能，但它们也需要在应用程序代码中包含敏感数据，这反过来又会带来安全问题。

III） 遇到的问题和局限性

a） 缺乏增强 DDoS 安全性的资源

在缓解 DDoS 攻击方面，我遇到了资源限制，例如缺乏基于云的基础设施，这限制了我实施某些安全措施的能力。具体而言，由于资源限制，多次克隆 API 作为分配流量和减少 DDoS 攻击影响的手段的选项目前不可行。

b） 源域名过滤漏洞

然而，重要的是要承认这种方法并非没有漏洞。主要问题是它依赖于源域名作为过滤请求的手段。虽然这种方法在正常情况下可能有效，但它仍然容易受到特定类型的威胁。

c） 漏洞场景

该漏洞在于，攻击者意图破坏系统，可能会创建一个伪造服务器，该服务器通过使用相同的域名来模仿我的客户端前端。这样一来，他们就可以制作和发送模仿合法客户交互的请求。缺乏可靠的身份验证过程，再加上对源 URL 过滤的依赖，为利用创造了机会。

我欢迎与对这一主题感兴趣的个人进行进一步讨论。我们可以一起探索与我面临的具体挑战相一致的潜在解决方案。

感谢您抽出宝贵时间接受采访