Как обработать аутентификацию между API и клиентом в Azure

Question

Я не совсем уверен, как это назвать, но в основном у меня есть сервисное приложение, которое просто обслуживает API, время от времени вызывая внешние API в фоновом режиме для обновления данных. Помимо аутентификации во внешних API-интерфейсах, в этом приложении нет другой аутентификации.

Затем у меня есть интерфейсное приложение, которое использует API-интерфейс приложения-службы для получения данных и их отображения пользователю, а также при необходимости. изменить некоторые данные. Это приложение настроено для проверки подлинности на Azure AD и имеет настройки ролей приложений для ограничения доступа к различным разделам.

Как бы защитить API приложения-службы, чтобы обслуживались только вызовы из приложения переднего плана, и все еще будет отклонено с 401?

Answer 1

API можно защитить с помощью OAuth с Azure AD. Приведенный ниже обзор может помочь вам в вашем сценарии:

1. Зарегистрируйте приложение в Azure AD для представления API. Ссылка

В основном на этом шаге вы убедитесь, что только приложение (ваше приложение), имеющее разрешение, может получить доступ к API.

Зарегистрируйте другое приложение в Azure AD, чтобы представить клиентское приложение. Ссылка .

На этом этапе вы создаете другое приложение, представляющее ваше приложение, чтобы можно было установить доверие между API и вашим приложением.

Предоставить разрешение в Azure нашей эры. Ссылка .

На этом этапе вы даете своему приложению разрешение на доступ к вашему API.

Используйте поток учетных данных клиента для аутентификации вашего приложения в вашем API. Ссылка .

На этом шаге вы будете настраивать свое приложение с информацией Azure AD приложения API. Используя эту информацию, вы будете получать токен доступа, и вам нужно будет передать этот токен доступа вашему API.