Управление API и аутентификация приложений

Question

Я думаю, что я не понимаю чего-то очевидного здесь.

Если я настраиваю приложение API в API Management так, что для URL / B требуется отдельная подписка / роль, отличная от базовой, которая включает / A URL, могу ли яНужно авторизоваться в самом приложении, проверяя текущую роль пользователя?

Я в замешательстве, потому что приложение API также имеет свой общедоступный URL-адрес и к нему можно получить прямой доступ.Он также будет иметь URL-адрес управления API.Поэтому, несмотря на то, что я настроил все политики регулирования и все политики, которые можно игнорировать, напрямую обращаясь к приложению.

Разве API-приложение не может быть только внутренним, с настроенной идентификацией и разрешать только подключения из управления API?Как настроить аутентификацию так, чтобы пользователям приходилось обращаться к API Management?

Answer 1

После того, как вы разместили свой API за управлением API, вы должны рассматривать URL-адрес внутреннего API как свой собственный частный URL-адрес, который используется только в случае необходимости.

И вы, и пользователи вашего API должны использовать только общедоступный URL-адрес управления API, чтобы вы могли пользоваться преимуществами API Management Gateway.Не давайте внешним сторонам общедоступный URL вашего внутреннего API.

У вас есть несколько вариантов защиты вашего бэкенда API.К ним относятся использование Azure AD , сертификатов , базовая проверка подлинности и даже только разрешение IP-адреса управления API Azure для подключения к внутреннему API.

Это зависит от того, где находится вашхостинг backend API, какой уровень управления API вы используете (некоторые опции доступны только в Premium) и, наконец, какие возможности есть у вашего backend API.

Подробнее см. в этом посте подробности обо всем вышеперечисленном.

Надеюсь, это поможет!