من یک برنامه صفحه جاوا اسکریپت یک صفحه دارم که با یک API .NET در حال اجرا در IIS ارتباط برقرار می کند. تأییدیه پس از بارگذاری ظاهر برنامه، با استفاده از یک نشانه OAuth از دفتر 365، به دست آمده با استفاده از ADAL.js و توسط WindowsAzureActiveDirectoryBearerAvhentication middleware از کتابخانه مایکروسافت OWIN تأیید شده است، همانند این برنامه نمونه.
دیروز کسی به من گفت که این رفتار ( داشتن یک برنامه JS به طور آشکار در اینترنت فقط با API ایمن در دسترس است) مطابق با استاندارد ISO 27001 نیست و کد منبع آن از یک مهاجم فقط در صورت موفقیت آمیز بودن با یک حساب تأیید شده در دسترس است. از آنجایی که من هرگز از ISO 27001 قبل از آن نشنیده بودم و من نیز به آن استاندارد دسترسی ندارم، شاید کسی بتواند به من بگوید این درست است یا خیر، و چه وضعیت فعلی در هنر است.
