Wenn ich eine API mit Azure Active Directory gesichert habe, was ist der Fluss, wenn eine externe API mit meiner internen API kommunizieren möchte?Aufruf externer APIs mit Azure Active Directory
Ist dies nur eine API zu API-Aufruf als normal oder ist dies ein besonderer Umstand und muss anders behandelt werden?
Ist das nur ein API-API-Aufruf als normal oder ist dies ein besonderer Umstand und eine andere Art und Weise muss die Handhabung?
Der besondere Umstand hängt möglicherweise von der Vertraulichkeit der Ressourcen ab, die von diesen APIs bedient werden, und von der Sicherheitsstufe, die Ihre Anwendung benötigt. Am Ende ist es nur ein api zu api Anruf.
Es gibt zwei Ansätze, die Sie verwenden können, wenn Azure Active Directory (AAD) Ihr Identitätsanbieter für die gesamte Anwendung ist.
Anwendungsidentität mit OAuth 2.0-Clientanmeldeinformationen, die von AAD bereitgestellt werden. Die aufrufende API fordert den AAD-Token-Endpunkt mit seiner Client-ID, dem geheimen Client (Berechtigungsnachweis) und der Anwendungs-ID (der eindeutigen ID für die aufgerufene API) auf, ein Zugriffstoken als Antwort zu empfangen. Dieses Token wird als Bearer-Token zum Aufrufen der Downstream-API verwendet. In diesem Ansatz sind Client-ID, Client-Secret, Anwendungs-ID, die für ein Zugriffstoken ausgetauscht werden, statische Werte. Jemand, der Zugriff auf diese Werte hat, kann einen Weg finden, die Anwendungssicherheit zu gefährden (höchst unwahrscheinlich).
Der zweite Ansatz ist Delegated User Identity mit OAuth 2.0. Eine Anforderung wird an den AAD-Token-Endpunkt mit der Client-ID, dem Clientgeheimnis, dem beim Aufruf der Tier1-API empfangenen Zugriffstoken und einem speziellen Parameter on_behalf_of zum Empfang eines Zugriffstokens und eines Aktualisierungstokens als Antwort gesendet. Wir bevorzugen diesen Ansatz, da er einen dynamischen Wert (Zugriffstoken von Tier1 API) verwendet und auch ein Aktualisierungstoken bereitstellt.
Sie können mehr über diese Ansätze lesen here
Wenn Sie AAD nicht verwenden möchten, können Sie asp.net in OwinAuthenticationMiddleware gebaut verwenden können, um Ihre eigenen Zugriffstoken zu generieren und zu validieren. Wie bereits erwähnt, hängt alles von Ihren Anwendungsanforderungen und Implementierungsdetails ab, aber am Ende ist es ein API-API-Aufruf.
Hoffentlich ist dies hilfreich, bitte lassen Sie mich wissen, wenn Sie Fragen haben.
Vielen Dank, Soma.
oAuth für loggin getan Benutzer zu einem Webservice (see also reference here).
Verwenden Sie OAuth, um Ihren Benutzern Zugriff auf ihre Daten zu gewähren und gleichzeitig ihre Anmeldeinformationen zu schützen.
Als ein anderer Webservice will einer Ihres Service besten Weg, um konsumieren, dies zu tun, ist ein andere Authentifizierungsmethode zu haben, um
Andere API zu autorisieren, ich nehme an, Sie von Maschinen sprechen und nicht den Benutzer (alias Menschen). Der beste Weg besteht also darin, einen anderen Authentifizierungsmechanismus bereitzustellen, um Maschinen zu autorisieren, sich auf sichere Weise mit Ihrer API zu verbinden. Eine einfache Methode zum Herstellen einer Computerverbindung ist die Verwendung eines privaten PKI mit einem öffentlichen/privaten Schlüssel. Eine gute Referenz für PKI: http://docs.oracle.com/javase/6/docs/technotes/guides/security/certpath/CertPathProgGuide.html