Politiche di Rate Limiting basate su informazioni presenti nei token ModI
Negli scenari in cui il token di sicurezza ModI viene generato direttamente dal fruitore, senza l’intermediazione di un Authorization Server (es. PDND), è possibile definire politiche di Rate Limiting che conteggiano o filtrano le richieste in base alle informazioni presenti nei token JWT (Authorization o Agid-JWT-Signature).
GovWay fornisce una serie di plugin che estraggono informazioni dai token ModI e le rendono disponibili come criteri di raggruppamento o filtro personalizzato nelle politiche di rate limiting.
I plugin disponibili sono elencati nella tabella seguente:
ClassName |
Token |
Informazione estratta |
|---|---|---|
|
Authorization |
Claim “client_id” |
|
Authorization |
Claim “sub” |
|
Authorization |
CN del certificato (x5c) |
|
Authorization |
Subject del certificato |
|
Agid-JWT-Signature |
Claim “client_id” |
|
Agid-JWT-Signature |
Claim “sub” |
|
Agid-JWT-Signature |
CN del certificato (x5c) |
|
Agid-JWT-Signature |
Subject del certificato |
Registrazione dei Plugin
Per poter utilizzare i plugin nelle politiche di rate limiting è necessario registrarli come descritto nella sezione Registrazione di un Plugin. La tabella seguente riporta i valori da utilizzare durante la registrazione:
Tipo Plugin |
Tipo |
ClassName |
Label |
|---|---|---|---|
Rate Limiting |
ModIRTAuthzCID |
|
ModI Authorization ClientId |
Rate Limiting |
ModIRTAuthzSub |
|
ModI Authorization Sub |
Rate Limiting |
ModIRTAuthzCN |
|
ModI Authorization Certificate CN |
Rate Limiting |
ModIRTAuthzSubj |
|
ModI Authorization Certificate Subject |
Rate Limiting |
ModIRTIntCID |
|
ModI Integrity ClientId |
Rate Limiting |
ModIRTIntSub |
|
ModI Integrity Sub |
Rate Limiting |
ModIRTIntCN |
|
ModI Integrity Certificate CN |
Rate Limiting |
ModIRTIntSubj |
|
ModI Integrity Certificate Subject |
Configurazione della politica di Rate Limiting
Una volta registrati i plugin, è possibile attivarli nella configurazione di una politica di rate limiting, nella sezione “Raggruppamento per Chiave” (Fig. 289):
Abilitare lo Stato del “Raggruppamento per Chiave”.
Selezionare Tipologia “Plugin”.
Scegliere dalla lista il plugin desiderato.
Fig. 289 Rate Limiting: raggruppamento per chiave tramite plugin ModI
Ad esempio, selezionando il plugin “ModI Authorization ClientId”, il conteggio delle richieste viene effettuato separatamente per ogni diverso valore del claim “client_id” presente nel token di Authorization. Ciò consente di applicare soglie di rate limiting per singolo fruitore anche in assenza di un Authorization Server centralizzato e senza dover registrare i fruitori come applicativi su GovWay, operazione che sarebbe altrimenti necessaria per poter utilizzare il normale raggruppamento per “Richiedente”.
Per ulteriori dettagli sulla configurazione di filtri e raggruppamenti personalizzati si rimanda alla sezione Filtro o Raggruppamento Personalizzato.