我有一個 Xamarin 表單移動應用程式,它正在以 azure 訪問我的應用程式服務。我想保護 API,以便只有我的客戶端應用程式可以訪問它們。移動應用程式執行自己的用戶/密碼身份驗證/授權,因此我不需要 AD 或第三方。我只想保護我的 API。我能找到的所有示例似乎都假設有一個經過身份驗證的 AD 用戶,我可以從中傳遞一個令牌。是否有一種簡單的方法可以在不使用 AD 用戶的情況下使用 Azure“公開 api”功能?移動應用程式正在使用 REST api 呼叫,所以如果我可以將一個正確的身份驗證令牌放在一起,我也在努力解決如何傳遞正確的身份驗證令牌。提前致謝。
uj5u.com熱心網友回復:
一種確保安全的方法是在您的 API 前面添加一個 API 管理并要求訂閱,然后只ocp-apim-subscription-key接受具有特定功能的呼叫。我不建議將 ocp-apim-subscription-key 值存盤在您的應用程式中,因為您需要隨時更改它,都需要新版本的應用程式。我建議在您的用戶成功登錄后回傳它,這樣,您可以在需要時自由輪換 ocp-apim-subscription-key 密鑰。
uj5u.com熱心網友回復:
由于您僅嘗試驗證客戶端應用程式而不是最終用戶,因此您應該查看 OAuth 2.0 - 它具有更復雜的實作,因為它包含應用程式和最終用戶身份驗證 - 或者您可以設定更簡單的 JWT 身份驗證以及哪個目的是對客戶端應用程式或最終用戶進行身份驗證,而不是像 OAuth 那樣同時進行身份驗證。
在 API 上實施身份驗證后,您可以通過請求中的身份驗證標頭發送生成的令牌。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/379592.html
標籤:天蓝色 验证 沙马林 azure-app-service-plans
上一篇:使用Terraform將AKS群集附加到現有VNET
下一篇:限制惰性列中的專案