Généralement tu utilise un reverse proxy qui va au moins permettre de n'avoir que le port 443 d'ouvert.
Ensuite tu peut faire du gateway offloading et laisser à ce reverse proxy la gestion de la TLS. Ça permet de ne pas avoir à se poser la question sur comment configurer chaque service (mise en place du certificat, mais aussi choix des ciphers par exemple).
Enfin pour l'authentification ça dépend de ton authentification et selon le choix fait tu va l'implémenter sur chaque service ou sur le reverse proxy. Quand tu le fais sur le reverse proxy il va ajouter des entêtes à la requête pour permettre au service suivant de gérer les droit (le reverse proxy s'assure que la requête est bien celle de tel utilisateur, chaque service vérifient que l'utilisateur en question a le droit de faire cette requête).
[^] # Re: Sécurité
Posté par barmic . En réponse à la dépêche Quelques cadriciels Web C++ (2/2). Évalué à 3.
Généralement tu utilise un reverse proxy qui va au moins permettre de n'avoir que le port 443 d'ouvert.
Ensuite tu peut faire du gateway offloading et laisser à ce reverse proxy la gestion de la TLS. Ça permet de ne pas avoir à se poser la question sur comment configurer chaque service (mise en place du certificat, mais aussi choix des ciphers par exemple).
Enfin pour l'authentification ça dépend de ton authentification et selon le choix fait tu va l'implémenter sur chaque service ou sur le reverse proxy. Quand tu le fais sur le reverse proxy il va ajouter des entêtes à la requête pour permettre au service suivant de gérer les droit (le reverse proxy s'assure que la requête est bien celle de tel utilisateur, chaque service vérifient que l'utilisateur en question a le droit de faire cette requête).