我不太确定该怎么称呼,但是基本上我有一个服务应用程序,该服务应用程序仅提供API,而偶尔在后台调用外部API以保持数据更新。除了对外部API进行身份验证外,此应用上没有其他身份验证。
然后,我有一个前端应用程序,该应用程序使用服务应用程序的API来获取数据并将其显示给用户,并可以选择修改某些数据。此应用程序设置为根据Azure AD进行身份验证,并具有应用程序角色设置,以限制对各个部分的访问。
我将如何确保服务应用程序API的安全性,以便仅处理来自前端应用程序的调用,而其他所有消息都将被401拒绝?
您可以通过将OAuth与Azure AD结合使用来保护API。以下概述可以帮助您解决方案:
基本上,在此步骤中,您将确保只有具有权限的应用程序(您的应用程序)才能访问API。
在此步骤中,您将创建另一个代表您的应用程序的应用程序,以便可以在API和您的应用程序之间建立信任关系。
在此步骤中,您授予您的应用访问API的权限。
[在此步骤中,您将使用API的Azure AD应用程序的信息来配置您的应用程序。使用该信息,您将获取访问令牌,并且需要将此访问令牌传递给您的API。