Я хочу использовать Задание сервера VSTS "Опубликовать в служебной шине Azure" и проверить на стороне получателя пользователя VSTS, проект и учетную запись, из которой появилось опубликованное сообщение. Согласно task.json связанная информация отправляется на служебную шину, но для моих целей это небезопасно, так как я хочу защитить себя от подделки информации клиентом. Несколько разных пользователей, проектов и учетных записей VSTS будут использовать задачу. Как только клиент задачи получит учетные данные для отправки в служебную шину, он может подделать данные.
Обеспечивает ли VSTS идентификацию издателя сообщений с защитой от несанкционированного доступа? В сообщении есть токен аутентификации, но, похоже, он служит другой цели: он используется для аутентификации в VSTS и не содержит в себе утверждений об идентичности.
task.json
это будет ключProjectId
. Обходной путь, который мы рассматриваем, состоит в том, чтобы написать расширение VSTS, которое изменяет встроенную задачу, добавляя дополнительный общий секрет, который наша служба будет проверять, чтобы предотвратить спуфинг. - person Konrad Jamrozik   schedule 22.06.2018