Моя организация добавляет брандмауэр в наши тестовые стеки, используя AWS WAF. Мы хотели бы занести в белый список весь трафик из SDK, которые мы создали для облегчения запросов между нашими сервисами.
Мы подумали о том, чтобы сделать это с помощью настраиваемого заголовка запроса «X-», а затем с помощью условий соответствия регулярных выражений AWS WAF проверить его на соответствие шаблону «нетривиально угадать».
Я понимаю, что это даст очень минимальный уровень защиты; идея состоит в том, чтобы предотвратить случайный просмотр из поисковых систем или легкий доступ для всех, кто знает URL-адреса. То есть нам не нужно и не ожидаем такой защиты от информированных или мотивированных злоумышленников.
Я не могу найти прецедента для этого в Интернете. Есть ли какие-нибудь похожие примеры или какие-нибудь лучшие способы достичь чего-то похожего на наши цели? (Не значимая безопасность, но первая капля уверенности в происхождении запроса)
То, что вы описываете, по сути Аутентификация токена на предъявителя - клиент должен будет предъявить действующий токен или ему будет отказано в доступе.
Практически нет правил относительно того, что это за токен - он может быть в кодировке base64 случайная строка что и сервер, и клиент знают, или у него могут быть некоторые данные аутентификации, закодированные внутри, например Токены JWT. В вашем случае вы можете просто создать и закодировать случайную строку (32 символа или около того) и использовать ее для базовой аутентификации.
Излишне говорить, что это следует использовать только через HTTPS, чтобы никто не перехватил трафик открытого текста. Однако все сайты в наши дни должны использовать только HTTPS так что это спорный вопрос;)
С другой стороны, если ваши тестировщики прибывают из известных мест, вы должны просто иметь белый список одобренных IP-адресов в тестовом стеке и отклонять всех, кто пришел из другого места.
Надеюсь, это поможет :)