Tổng quan
Duende BFF Security Framework áp dụng mô hình Backend-for-Frontend để bảo vệ các frontend chạy trong trình duyệt. Luồng xác thực được chuyển qua một thành phần server-side bảo mật, giúp tránh việc đưa token ra phía client và giảm bề mặt tấn công.

Thư viện này hướng tới các ứng dụng Single Page Application và Blazor app giao tiếp với backend ASP.NET Core. Thay vì để browser trực tiếp xử lý OAuth flow, backend đảm nhiệm xác thực, quản lý session và truy cập API theo cách phù hợp hơn với các khuyến nghị bảo mật hiện nay.
Framework bảo mật cho frontend trình duyệt theo mô hình Backend-for-Frontend, chuyển xác thực và quản lý token về phía server. Hỗ trợ OAuth 2.0, OpenID Connect, SPA và Blazor với ASP.NET Core backend.
Tính năng nổi bật
- Bảo vệ token khỏi nguy cơ bị trích xuất ở phía trình duyệt.
- Giảm bề mặt tấn công bằng cách chuyển xác thực sang server-side component.
- Hỗ trợ OAuth 2.0 cho các luồng xác thực phía server.
- Hỗ trợ OpenID Connect cho quản lý xác thực và token.
- Cung cấp CSRF protection tích hợp cho frontend trình duyệt.
- Mở các endpoint bảo mật như /bff/login và /bff/logout.
- Lưu trạng thái xác thực bằng secure cookies thay vì token trong browser.
Ứng dụng thực tế
- Bảo vệ SPA cần xác thực người dùng qua OAuth 2.0 hoặc OpenID Connect.
- Triển khai lớp BFF cho Angular, React hoặc Vue frontend dùng ASP.NET Core backend.
- Giữ token trên server cho ứng dụng Blazor hoặc Blazor WASM.
- Giảm rủi ro token leakage và XSS trong ứng dụng web hiện đại.
- Thiết lập reverse proxy an toàn cho truy cập API nội bộ và API bên ngoài.
Đối tượng sử dụng phù hợp
- Lập trình viên.NET xây dựng frontend trình duyệt với ASP.NET Core backend
- Nhóm phát triển SPA dùng Angular, React hoặc Vue
- Kỹ sư phần mềm triển khai Blazor và Blazor WASM apps
- Technical lead cần áp dụng mô hình BFF cho xác thực và quản lý session
Thông tin kỹ thuật
Câu hỏi thường gặp
Duende BFF Security Framework phù hợp với loại ứng dụng nào?
Phù hợp cho browser-based frontends như SPAs và Blazor apps giao tiếp với backend ASP.NET Core.
Framework có hỗ trợ OAuth 2.0 và OpenID Connect không?
Có. Sản phẩm hỗ trợ cả OAuth 2.0 và OpenID Connect cho xác thực, session và quản lý token.
Token có được lưu trong browser không?
Không. Mô hình BFF của Duende quản lý token trên server thay vì trong trình duyệt.
Những frontend framework nào được nhắc tới?
Angular, React, Vue, Blazor và Blazor WASM đều được nêu trong mô tả sản phẩm.
Sản phẩm có thể dùng độc lập hay nằm trong gói khác?
Thông tin hiển thị cho biết Duende BFF Security Framework is available as part of IdentityServer.




Bình luận