pFlex

# Sicherheit

# Versionierung

Jeder Microservice wird versioniert. Bei Problemen kann einfach zwischen und sehr schnell zwischen Versionen gewechselt werden.

# Tests

Für jeden Microservice existieren eine Reihe von automatisierten Tests welche vor Bereitstellung durchlaufen werden müssen.

# Anfragen

Jede Anfrage an p-Flex muss mittels eines kurzlebigen JSON - Webtoken (JWT) erfolgen. Die Microservices prüfen bei jedem Schritt die Berechtigungen und Valididät des Tokens.

# Write-Only Zugangsdaten

Zugangsdaten wie spezifische Tokens, Passwörter für Services etc. sind write-only. Konkret: Berechtigte Benutzer können sensitive Daten zwar (über)schreiben werden dem Benutzer selbst aber niemals direkt zurückgegeben.

# Anmeldung / Authentifizierung

pFlex nutzt keine herkömmliche Datenbank für das Speichern und Authentifizieren von Benutzern sondern durchgehend Oauth 2.0 (opens new window) bzw. die dafür vorgesehende Infrastruktur von Firebase (opens new window).

Die Authentifzierung ist damit erzwungenermassen immer auf dem technisch aktuellsten und sichersten Stand.

WARNING

Selbstverständlich schützt auch eine technisch hochstehende und ausgeklügelte Authentifizierung nicht vor (zu) einfachen oder leicht zu erratenden Passwörtern. Wir empfehlen Passwörter mit einer Mindestlänge von 10 Stellen welche sonst in keinem Service verwendet werden.

# Anmeldung ohne Passwort / Oauth Provider

pFlex bietet die Möglichkeit, sich ohne Passwort anzumelden bzw. die Authentifizierung über einen anderen Provider durchzuführen.

Folgende Anbieter stehen zurzeit zur Verfügung:

# Provider Account
alt text Google Google-Account
alt text Microsoft Microsoft-ID
alt text Apple Apple-ID
alt text Github Github-Account

Hinweis: Apple bietet die Möglichkeit die Emailadresse zu verbergen (opens new window). Die Möglichkeit Apps und Diensten von pFlex freizugeben wird damit erschwert. Wir empfehlen diese Option nicht zu verwenden.

# Ablauf

Vereinfacht ausgedrückt funktioniert der Ablauf bei Anmeldung mittels Provider dabei wie folgt:

  • Der Benutzer klickt bei der Anmeldung auf pFlex auf den gewünschten Anbieter
  • pFlex leitet den Benutzer zum entsprechenden Anbieter weiter
  • Der Anbieter prüft die Authentifzierung des Benutzers
  • Der Anbieter informiert pFlex ob der Benutzer die entsprechenden Berechtigungen für den Account verfügt.

TIP

Es ist auch möglich verschiedene Login-Varianten zu nutzen. pFlex führt die Benutzer mit derselben Emailadresse automatisch zusammen (d.h. der Benutzer landet immer im "gleichen" Account)

Bedienung