Como proteger conteúdo restrito contra acesso indevido com a integração Secure Token da Azion
Secure Token é uma integração serverless disponível no Marketplace da Azion.
Essa integração permite processar e validar tokens que podem ser usados para controlar o acesso a conteúdo restrito ou personalizado, tais como aulas, vídeos e imagens. Apesar do fato do acesso a esse conteúdo ser concedido através de interfaces que exigem autenticação do usuário, é possível visualizar esses arquivos diretamente inserindo sua URL, o que os torna simples de distribuir. Neste caso, usando a integração Secure Token, o acesso só é concedido após o token ter sido validado, mesmo que uma URL seja compartilhada.
Outros benefícios do Secure Token incluem:
- Flexibilidade no desenvolvimento de aplicações.
- Infraestrutura descentralizada do edge para processar os tokens.
- Capacidade de aplicar regras de negócios no edge.
Como funciona a integração Secure Token
Ao implementar controles de acesso com a integração Secure Token, a aplicação de origem e a integração no edge assumem papéis distintos:
-
Aplicação de origem: determina a lógica em torno de como o token é gerado e também determina como o acesso dos usuários será controlado. Por exemplo, qual método de autenticação (OAUTH, OpenID Connect, etc.) será usado. O Token é um hash da URL, cujo conteúdo está sendo solicitado. Ele inclui um período de expiração para o próprio token e uma chave secreta.
-
Secure Token: valida o token gerado pelo aplicativo para cada solicitação recebida e enviada pelo usuário. Se o token tiver expirado, a chave secreta não estiver correta ou o token não for válido para a URL em questão, o acesso ao conteúdo será negado.
Também é possível combiná-los com outros elementos no para definir qual comportamento deve ser aplicado (autorizar o acesso ou encaminhar para a aplicação, geralmente uma página de login/inscrição).
Instalação da integração Secure Token
A integração Secure Token está disponível no Marketplace da Azion. Pode ser acessada através do Azion Console selecionando Products menu, identificado pelas três linhas horizontais no canto superior esquerdo, e depois Marketplace.
Para acessar o Console, você deve ter uma conta na Azion. Se você não tem uma, você pode visitar a página de inscrição.
Depois de entrar na página inicial do Marketplace, você pode usar a caixa de pesquisa para encontrar a integração Secure Token ou pode navegar pelos cards até encontrar a integração. Clique no card correspondente para ser redirecionado para a página inicial da integração Secure Token. Na página inicial, procure a seção Subscribe for no canto inferior direito e clique no botão Get it now.
Você pode entender mais sobre como instanciar e configurar a integração Secure Token visitando o guia Como instalar a integração Secure Token através do Marketplace da Azion na página de documentação.
Definição dos critérios de execução no Rules Engine
O Rules Engine determina o conjunto de criteria (critérios) que precisam ser atendidos para que os behaviors (comportamentos) sejam executados. Você pode usar a Default Rule ou criar uma nova regra depois de definir os parâmetros de validação para que a edge application seja executada.
Para definir os criteria (critérios) de validação, escolha as variáveis, operadores de comparação e strings necessárias para criar sua regra de negócios.
Por exemplo:
If: ${uri} starts with /classes
Lógica: operador lógico, variável, operador de comparação, string.
Nesse caso, a regra é executada se a URL acessada começar com a string /classes
.
Para definir os behaviors (comportamentos), adicione as ações que deseja realizar quando as condições forem atendidas.
Por exemplo:
Then: Run Function MySecureToken
Lógica: operador lógico, ação, função.
Neste exemplo, se as condições definidas nas regras forem satisfeitas, a função MySecureToken será executada. Se o token recebido for inválido, a função retornará um código de status HTTP 403 ou 410, dependendo do erro.
Após a configuração, clique em Save e sua edge application estará pronta para ser executada.