通過防火牆將“難以猜測”的自定義標頭（或類似標頭）列入白名單

我的組織正在使用 AWS WAF 向我們的測試堆棧添加防火牆。我們希望將來自我們建構的 SDK 的所有流量列入白名單，以促進我們服務之間的請求。

我們考慮使用自定義的“X-”請求標頭來執行此操作，然後使用 AWS WAF 的正則表達式匹配條件來檢查它是否與“非平凡猜測”模式相匹配。

我知道這將提供非常低水平的保護；這個想法是為了防止來自搜尋引擎的隨機瀏覽或任何知道 URL 的人都可以輕鬆訪問。也就是說，我們不需要或期望以這種方式防範知情或有動機的攻擊者。

我在網上找不到任何先例。有沒有類似的例子，或者有更好的方法來實現與我們的目標相似的事情？（不是有意義的安全性，而是對請求來源的初步信任）

您所描述的本質上是不**記名令牌身份驗證**- 客戶端必須出示有效令牌或被拒絕訪問。

幾乎沒有關於該令牌是什麼的規則 - 它可以是伺服器和客戶端都知道的 base64 編碼的隨機字元串，或者它可以在內部編碼一些身份驗證數據，如*JWT 令牌*。在您的情況下，您可以簡單地生成和編碼一個隨機字元串（大約 32 個字元）並將其用於基本身份驗證。

不用說，這只能通過 HTTPS 使用，以防止任何人竊聽明文流量。然而，現在所有網站都應該只使用 HTTPS，所以這是一個有爭議的問題；）

另一方面，如果您的測試人員來自已知位置，您應該在測試堆棧上簡單地列出已批准 IP 的白名單，並拒絕來自其他地方的任何人。

希望有幫助:)

引用自：https://serverfault.com/questions/984490