目前,我正在Azure上托管一个使用Azure Active Directory保护的简单Web应用程序。该网站有一个虚拟目录,充当web api,用于从我们的数据库中提取信息。网站的前端要求您登录,但是您可以通过键入后端的URL(虚拟目录)来绕过它,并且仍然能够在不进行身份验证的情况下提取数据(它只是看到GET请求并发送json数据)。过去几周我一直在努力弄清楚如何在能够看到这些信息之前确保你必须在前端登录。当我尝试使后端需要身份验证时,即使我使用在前端进行身份验证时获得的承载令牌发送请求,我也只会获得401。
我试图寻找答案,但似乎我的情况有点过于具体,而且我发现的任何资源都没有用。如果你知道实现这个或任何资源的正确方法,你可以指出我将是一个巨大的帮助!如果有任何不清楚或者我是否应该发布任何相关的代码示例(我不知道什么是有用的),请告诉我。提前致谢。
答案 0 :(得分:0)
@rhof,
一般的想法是,您应该将Web API应用程序配置为使用AAD(来自您的前端)发出的身份验证令牌。并且只接受带有有效承载令牌的请求。
例如来自以下链接的教程