问题
WAF是否可用于保护需要用户在访问任何资源之前通过第三方身份提供商进行身份验证的Web应用程序?
提出问题的动机
我希望我的自定义应用程序受到防火墙的保护,这样我就可以创建规则来保护我的应用程序免受恶意请求的攻击。当我读到WAF时,它听起来像是正确的解决方案。当我读到WAF必须与AWS CloudFront一起使用时,我开始担心,CloudFront只能缓存可公开访问的内容。我开始怀疑CloudFront对缓存私有内容的限制是否会阻止我的WAF规则应用于发往私有内容的请求。
背景资料
我创建了一个托管在AWS EC2实例上的自定义Web应用程序。 Web应用程序包含动态内容并支持HTTP GET / OPTIONS / POST / PUT / DELETE谓词。自定义Web应用程序要求每个用户使用身份提供程序进行身份验证。如果未经身份验证的用户尝试访问资源,则他们的浏览器将重定向到由Web应用程序托管的可公开访问的登录页面。从登录页面,用户可以选择身份提供者。一旦选择了身份提供者,用户的浏览器将被重定向到身份提供者的登录对话框,在那里他们将被提示输入他们的凭据。经过身份验证后,他们将被重定向回Web应用程序中的请求资源。