我目前正在考虑一种解决方案,其中IoT设备将有多个可能的端点进行通信。就像一些不涉及遥测或设备双数据的呼叫的API一样。
与IoT Hub的连接可以很好地保护(我们将使用证书),并且我想要为架构添加不同的身份验证方式。
所以我现在的想法是让后端服务为我的API生成特定于设备的SAS令牌,如果设备请求可能会按需生成。
Cloud-to-device communications guidance提到配置数据,所以感觉这是一个很好的方法。将这些令牌写入所需属性是否安全?使用云到设备消息的有效载荷会更安全吗?还是应该以完全不同的方式完成?
您可以将自定义云服务创建为令牌服务,该服务使用具有DeviceConnect权限的IoT Hub共享访问策略来创建设备范围的令牌。
有关更多详细信息,请参阅“Custom device authentication”。