如何安全地将 EC2 托管的 Shiny 应用程序集成到 asp.net 项目中

Question

我有两个应用程序。

1. 在 EC2 上托管的 R Shiny 应用程序
2. Azure 上托管的 Asp.net 应用程序。

asp.net 应用程序执行用户身份验证，并用于组织整个数据科学管道。用户提供数据，数据科学家转换数据并提供闪亮的应用程序。最后，用户在 asp.net 应用程序中打开 Shiny 应用程序。

我的问题是我不知道如何安全地集成我在 asp.net 应用程序中开发的 Shiny 应用程序。

我可以这样解决问题：

基本上，我可以制作一个简单的 iframe，其中包含指向 EC2 实例公共域的链接。但是，这并不安全。任何人都可以通过简单的页面源单击找到并访问该 url。

我考虑过的另一个选项是限制 EC2 安全组中的 IP 地址。但是，问题在于 asp.net 应用程序应该由不同的实体/独立用户使用。因此，安全性需要更加精细[用户是否有权访问应用程序、应用程序内的项目、项目内的容器？] 而不仅仅是服务器 IP 地址。

此外，我曾考虑在实际的 Shiny 应用程序中提供第二级身份验证，但是这从本质上首先失去了 asp.net 身份验证的意义。

关于我应该继续研究的方向有什么想法或提示吗？

Answer 1

我认为你是对的，有两种选择。第一个是在两台服务器之间创建安全连接，并使用 .Net 应用程序代理流量，但这与此无关。

第二个是验证两个服务器的使用。您可以通过让 .Net 服务器以某种方式将有关活动会话的数据传递给 Shiny 应用程序来同步它们，但这并不理想。

您可以改为使用诸如JWT 之类的身份验证机制，其中 .Net 服务器会在客户端登录时向客户端发出令牌（即 cookie 或嵌入到 iFrame URL 中），然后客户端会将其传递给令牌到 Shiny 服务器，它只需要验证令牌。如果使用 cookie，您需要确保两台服务器位于同一个子域上，以便正确设置令牌。

Answer 2

免责声明：

我的有点类似于@OllyTheNinja 解释的内容。由于我对 JWT 不熟悉，因此无法比较这两种方法，但希望了解更多可能的集成方法。

我可以想到另一种方法，这是在 ASP.Net 中为登录页面的用户生成一个随机数（大约 20 个字符），并将时间和令牌记录在共享介质（例如数据库）中。然后，当用户单击将他们带到闪亮 URL 的按钮时，将该令牌附加到 URL 并将其传递给闪亮服务器，然后解析 URL 并找到令牌并在数据库中搜索它（您可以定义到期日期，因为您正在重新编码生成时间）。如果存在，则加载该页面，否则重定向到另一个页面。

对于解析这可能会有所帮助： https://shiny.rstudio.com/reference/shiny/1.6.0/parseQueryString.html

对于将令牌附加到URL，我认为可以使用Ajax，我很长时间没有编写任何.Net代码，但我相信有一种方法，可能是这样的： How can I use $.ajax to set image src to dynamic image/png data?

我想最好在 Shiny 上记录客户端属性（例如 IP）并设置一个逻辑，即如果请求来自同一个 IP、浏览器，那么在几个小时之前不要检查令牌的有效性。通过这种方式，您也可以构建自己的防火墙。

由于令牌足够长（即~20个字符），有20^（~72个，即26个小写字母+26个大写字母+~10个特殊字符+9个数字）可能的排列几乎无法破解，尤其是如果您定义每个令牌约 1-2 小时的到期日期。