Компания, в которой я работаю, разработала набор веб-API, и в настоящее время мы используем Azure AD для аутентификации.
Теперь нам нужно проработать авторизацию.Для простоты, скажем, есть три правила:
- Для незарегистрированных / неоплачиваемых пользователей они могут запрашивать наши API 100 раз в день
- Для базовых пользователей они могут запрашивать наши API1000 раз в день
- Для полных пользователей они могут запрашивать наши API без каких-либо ограничений
Теперь вопрос заключается в том, как мы должны делать авторизацию?
Мы думали об использовании Azure AD, но это означает, что нам нужно будет создать этих пользователей в нашей Azure Active Directory и назначить их различным группам.Так что из-за проблем с безопасностью нам это не подходит.
Если мы собираемся создать базу данных для хранения этих пользователей и назначить токены соответствующим образом, авторизация становится легкой, но в этом случае есть ли смыслпродолжать использовать Azure AD для аутентификации?Как более зрелые продукты веб-API справляются с таким сценарием?