나는 다이나믹스 CRM에 플러그인을 작성했습니다. 이 플러그인은 Azure 클라우드에 배포 된 몇 가지 Web API 2 메소드에 액세스합니다 (HTTPS
통해). CRM의 연락처 데이터가 변경되면 플러그인이 트리거됩니다. 많은 CRM 계정 소유자가 연락처 데이터를 업데이트합니다.다이나믹스 인증을위한 CRM 플러그인 웹 API 2 액세스 방법
플러그 인에서 '비밀 키'(한 번 생성 된 Guid)를 하드 코딩하고 웹 API 메서드에 액세스 할 때마다이 키를 보냅니다. 승인되지 않은 액세스를 방지하기 위해 웹 API 메소드에서이 GUID의 유효성을 검사합니다.
비밀 키 (guid)를 소스 코드에 저장하지 않습니다.
질문
- '하드 코드'비밀 키를하지 않으려면 내 대안은 무엇인가?
- 이 접근법의 보안 결함은 무엇입니까?
참고 일반적으로
는, 내 모든 웹 API는 사용자 지정 인증 웹 API를 필터에 의해 인증되어 있지만, 플러그인에서 액세스하는 웹 API는 사용자 지정 인증의 일부가 아닙니다.
CRM 버전은 2013입니다.