A scriptem kigenerálja a rövid lejáratú tokent
Hogyan generalja? Sajat magatol? Ha a kliensed mindenfele egyeb beavatkozas nelkul csak szimplan egy futtatasra kepes tokent generalni, az mar regen rossz.
azokat az adatokkal amivel a tokent generálod, akkor azzal akár a rendszereden kívülről is hozzáférhet az adatokhoz, kivéve ha a túloldalon van valami egyéb korlátozás, pl ip cím szűrés.
1) Ne szerezhesse meg konnyen! Legyen jelszo/OTP, HSM, akarmi, illetve minden _is_.
2) A szerver oldalon ellenorizni kell a klienst. Lehetoleg magat a HW-t _es_ a szemelyt is. Erre ra lehet dobalni egyeb parametereket. Elolvastad a fenti RBAC, ABAC, ReBAC linkeket?
3) A kliens nem egy shell script, remelem. Ha van egy tokened, amellyel hozzafersz az adatokhoz (a fentiek utan), akkor azt sem mented le a /tmp/nagyontitkos.neolvassel fileba. Arra is megvannak a bejaratott megoldasok, hogy hogyan tarolunk ilyen tokeneket, illetve hogyan pucoljuk ki oket meg a memoriabol is.