Workflow

1. Authentifizierung und Token-Generierung

Nach dem Login in anolink authentifiziert sich der Benutzer über Auth0. Dabei werden mehrere JSON Web Tokens (JWT) erzeugt, darunter insbesondere das Access Token, das für alle folgenden Aktionen benötigt wird.

Das Access Token dient als sicherer Nachweis der Identität und wird bei jedem Zugriff auf Backend-Funktionen geprüft. So wird sichergestellt, dass alle Operationen eindeutig einem authentifizierten Benutzer zugeordnet sind.

2. Upload-Prozess

Nach erfolgreicher Anmeldung kann der Benutzer eine neue Nachricht erstellen und Dateien oder ganze Ordner zum Versand auswählen. Der Upload-Workflow läuft dabei in mehreren Schritten ab:

Anforderung eines SAS-Tokens

Die Anwendung fordert beim anolink-Backend ein temporäres SAS-Token (Shared Access Signature) von Microsoft Azure an. Dieses Token ermöglicht den sicheren, zeitlich begrenzten Zugriff auf den Blob Storage.

Direkter Upload in den Blob Storage

Mit dem SAS-Token werden die Dateien direkt vom Client in den Azure Blob Storage hochgeladen – ohne Umweg über die anolink-Server. Das reduziert Serverlast und ermöglicht eine hohe Datenübertragungsrate.

Chunked Upload

Die Dateien werden in mehrere kleine Datenpakete (Chunks) aufgeteilt und nacheinander hochgeladen. Dadurch bleibt der Upload auch bei instabilen Verbindungen stabil und fortsetzbar.

Verschlüsselung

Während des Uploads werden die Daten automatisch durch Azure Storage Encryption mit AES-256 gesichert. Die Verwaltung der Verschlüsselungsschlüssel erfolgt über den Azure Key Vault, der über IAM-Richtlinien geschützt ist und regelmäßig automatisch rotiert wird.

Metadateneintrag

Nach Abschluss des Uploads legt das Backend einen Datenbankeintrag in PostgreSQL an. Dieser enthält Nachricht, Empfänger, Zeitstempel, Status und die Verweise auf die hochgeladenen Dateien. Alle Metadaten sind clientseitig verschlüsselt und eindeutig mit den Blobs verknüpft.

3. Zugriff und Download

Empfänger erhalten eine E-Mail mit einem eindeutigen Download-Link, der eine Unique ID enthält. Abhängig von den Sicherheitseinstellungen kann zusätzlich eine E-Mail-Verifizierung erforderlich sein, bei der ein Einmalcode (One-Time Code) abgefragt wird.

Erst nach erfolgreicher Verifizierung werden Zugriffstokens ausgestellt, die den temporären Download der Dateien ermöglichen.

Im Download-Portal werden die angeforderten Dateien anschließend:

• direkt aus dem Azure Blob Storage gestreamlined,
• während des Transfers automatisch von Azure entschlüsselt,
• und ohne Zwischenspeicherung direkt auf die Festplatte des Clients geschrieben.

Diese Methode vermeidet Speicherpuffer auf den Servern und stellt sicher, dass sensible Daten ausschließlich zwischen dem Blob Storage und dem autorisierten Empfänger übertragen werden.

4. Sicherheit und Architekturprinzipien

Der gesamte Workflow folgt einem State-of-the-Art-Ansatz moderner Cloud-Architekturen. Tokenbasierte Authentifizierung, verschlüsselter direkter Datentransfer, serverseitiges Key-Management und gechunkte Uploads gewährleisten höchste Sicherheit und Effizienz.

Durch die Kombination aus Azure Blob Storage, Key Vault, SAS-Tokens und einer klar strukturierten Metadatenverwaltung erfüllt anolink sämtliche Anforderungen an Datenschutz, Nachvollziehbarkeit und Ausfallsicherheit – bei gleichzeitig optimaler Performance für Endnutzer.