Einsatz in Cloud-native Applikationen

BFFs werden seit einigen Jahren eingesetzt. Mit der Verbreitung von Cloud-native Applikationen gewinnen sie immer mehr an Bedeutung, da sie dort die Integration des Frontends in die Cloud-native Umgebung übernehmen.

Beispielsweise ist das BFF Teil der Cloud-Infrastruktur und kann daher, wie die Backend Systeme, auf Managed Services in der Cloud zugreifen.

Schauen wir uns anhand des Authentifikations-Prozesses an, was dies für Vorteile bringt:

Das BFF entscheidet anhand des eingehenden Requests, welche Backend-Systeme aufgerufen werden. Es benötigt zwei fundamentale Informationen, um Anfragen an das Backend schicken zu können:

Die URL des Backends
und die Credentials, um sich ihm gegenüber zu authentifizieren

In einer Cloud-native Architektur werden diese Informationen in Managed Services gespeichert. Beispielsweise werden die URLs in einer App.Config gespeichert und Secrets, wie beispielsweise Credentials, in einem Key Vault.

Beim Aufsetzen des BFFs wird dem BFF eine Managed Identity zugewiesen, die Zugriff auf die Managed Services erhält. Mit der Managed Identity werden Konfigurationen und Secrets, sowie technische Nutzer und deren Passwörter verwaltet, ohne dass Anwender oder Administratoren mit ihnen interagieren müssen. Somit müssen sich Nutzer weniger Passwörter merken und Administratoren haben keinen Aufwand mehr damit, Passwörter von technischen Nutzern zu rotieren.

Hätten wir kein BFF im Einsatz, müssten die Informationen, die benötigt werden, um die entsprechenden Backends aufzurufen, im Frontend gespeichert werden und wären somit für den Nutzer einsehbar. Dies ist insbesondere für Credentials absolut tabu, da sie damit öffentlich zugänglich wären. Alternativ könnten sich die Nutzer mit ihren persönlichen Credentials gegenüber den Backends authentifizieren. Doch auch das ist nicht ideal, da in diesem Fall jeder Nutzer eine Rolle hätte für jedes Backend, auf das er zugreifen darf. Diese Vielzahl an Rollen muss gepflegt werden und bedeutet viel Aufwand.

Mit BFF hat der Nutzer eine Rolle für das BFF, die entscheidet, auf welche Backends der Nutzer zugreifen darf. Das BFF hat die entsprechenden Rollen der Backends und damit den notwendigen Zugriff. Dadurch werden den Nutzern weniger Rollen zugewiesen und weniger Rollen müssen gepflegt werden, ohne dass Sicherheits-Einbussen in Kauf genommen werden.