Я создаю WebApi для внешних потребителей.Я хочу заблокировать его с помощью аутентификации токена Azure AD B2C..NET Framework 4.7.2 с использованием промежуточного программного обеспечения Owin.
Рабочий процесс (насколько я понимаю) выглядит следующим образом:
Успешный путь:
- GET-запрос на безопасныйконечная точка, содержит заголовок с действительным токеном авторизации
- API возвращает ожидаемый результат
Неверный / отсутствующий путь токена:
- GET-запрос на защищенной конечной точке,содержит неверный / отсутствующий токен в заголовке (ах)
- API возвращает 401
Это все выглядит правильно с точки зрения безопасности, но мои бедные потребители не будут знать, какчтобы получить новый токен.Должен ли я что-то возвращать с 401, чтобы помочь им получить новый токен?(т. е. URL-адрес конечной точки Azure AD B2C) - нарушает ли это обычные правила возврата объектов с 401?Неужели я слишком многого ожидаю от своих потребителей, чтобы они знали, как взаимодействовать с выбранным мной сторонним поставщиком аутентификации?
Мой вопрос больше касается дизайна, но я буду признателен за любые технические примеры.