Node.js 团队中机器人的安全问题

我们的团队已经使用microsoft bot framework（Nodejs）创建了一个聊天机器人，并且聊天机器人通过其清单由组织的租户管理员在团队中部署

我有几个关于证券的问题-（问题只与团队机器人有关）

1） 恶意用户模拟团队通道端点有多容易。？（bot在OnMessage活动处理程序中使用3层验证。（Graph Api和一些其他特定于组织的Api） 但问题是我们正在使用teamsinfo.getmembers（上下文）API调用从团队获取用户的电子邮件id，以通过这些验证

---

2） teamsinfo.getmembers（上下文）是否易受攻击？任何恶意用户是否能够提供任何现有真实用户的重复的确切turn上下文？

这是一个有趣的问题，我相信提供恶意turn上下文对任何攻击者来说都不容易。该请求以加密格式发送给bot框架服务，该服务具有不同级别的安全性。如果你有一个出站防火墙阻止从你的机器人到互联网的流量，你可以根据标准修改URL。您还可以在Bot中实现身份验证，以添加更多的安全层。

---

你可以查看机器人。

这个答案涵盖了很多内容，所以我只是“附加”而不是添加一个新的，但我有一篇博文，你可能会发现这篇博文对理解机器人的一些“幕后”很有用，在Great@HiltonGiesenow这对理解BotGreat@HiltonGiesenow，Great blog，正如您正确地说的，Microsoft documentations虽然非常好，但它有点难以掌握，特别是对于初学者来说。您可能希望添加有关对话框流和会话存储的博客。也许像是用定制的中间件添加成绩单之类的事情。另外，您是否碰巧对OAuth2.0有任何更简单的解释，Microsoft doc让我感到困惑。@Trinetra MSFT Bot托管在Azure服务上，在应用程序服务中有CORS策略，您是说在那里阻止它吗？（出站防火墙阻止到Bot的流量）。我们的bot目前未在bot框架渠道注册。还没有为团队启用OAuth 2.0。目前，我们有两个公开的API密钥directline's和一个团队。很高兴听到这是有用的，并感谢伟大的主题建议，我们将研究这些