我计划使用 Azure 事件网格作为发布-订阅机制。我们希望使用自定义 Webhook 作为事件网格主题的订阅。虽然我能够成功使用验证请求,但有什么方法可以为暴露的 webhook 端点实现身份验证和/或 DDOS 保护?我遇到了一个查询字符串参数解决方案,但这似乎不太合法。
最佳答案
如果您不想公开端点,您可以在其前面放置诸如 API 管理之类的内容。但是,您必须处理入站策略中的验证部分。这是一个示例:https://github.com/dbarkol/EventGrid-API-Management/blob/master/eventgrid-apim-policy.xml
对于自定义端点,您可以采取的其他防御措施包括:
- 确保将传入事件的 aeg-event-type 值设置为“通知”。
- 检查负载中的订阅 ID(如果是未知发件人则拒绝)
- 继续使用查询字符串参数并在每次调用时进行验证。
查询字符串参数是安全的并且永远不会被跟踪。
关于Azure 事件网格 - Webhook 订阅身份验证和 DDOS 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50175758/