Аутентификация против авторизации?

Question

Я новичок в Azure ADB2C, и меня смущает некоторая терминология.

Я создаю веб-сайт, посвященный мониторингу поездок на мотоциклах, и я хотел бы, чтобы пользователи могли входить в него, проверяя социальные сети.Идентификация мультимедиа (пока учетная запись Google и Microsoft).

Но я хочу, чтобы только пользователи, являющиеся участниками сайта, могли использовать определенные функции.Например, я хотел бы, чтобы каждый, кто проходит проверку подлинности, мог подать заявку на членство, прочитать о преимуществах членства и т. Д., Но я только хочу, чтобы участники имели возможность инициировать мониторинг поездки.

РекомендуетсяПодход здесь, чтобы только разрешить (а не аутентифицировать, если я правильно понимаю терминологию) определенные аутентифицированные пользователи (то есть участники), чтобы использовать службы мониторинга езды?

Если это так, как лучше всего авторизовать участника?Посмотрите их электронную почту (которую мне требуется вернуть из процесса аутентификации) в автономной базе данных и продолжите соответствующим образом?Если я пойду по этому пути, какой самый простой способ добавить их статус участника в свои учетные данные, чтобы я мог получить к нему доступ по всему сайту?

Извинения за то, что здесь не предоставлен код.У меня есть что-то вроде этого :), но это больше вопрос дизайна, чем вопрос кодирования.

Answer 1

Azure AD B2C - это, прежде всего, аутентификация как услуга.Есть способы, которыми он может быть использован для того, чего вы пытаетесь достичь здесь.

1. Вы можете использовать пользовательские атрибуты (расширения) в AADB2C (https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-reference-custom-attr) в сочетании с API-интерфейсом AAD Graph (https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet).). Таким образом, когда пользователь аутентифицируется и подает заявку на членствоВы можете вызвать AAD graph api для установки пользовательского атрибута на объекте пользователя. Вы можете получить атрибут расширения в токене после аутентификации. Этот токен предоставит вам членство пользователя.

2. Вы также можете использовать группы AAD вместо пользовательских атрибутов. В клиенте создайте группы членства. После аутентификации пользователя вызовите AADGraph, чтобы установить / получить членство пользователя в группе, и это даст информацию об авторизации.

3. Вы также можете делать то, что описали, сохраняя информацию в хранилище базы данных своего приложения, но первые две функции предоставляют встроенные функции для управления пользователями.