我正在为外部消费者构建WebApi。我想使用Azure AD B2C令牌身份验证锁定它。使用Owin中间件的.NET Framework 4.7.2。
工作流程(据我了解)如下:
成功的路径:
无效/缺少令牌路径:
从安全角度来看,这一切看起来都是正确的,但是我可怜的消费者不知道如何获取新令牌。我是否应该用401退货,以帮助他们获得新令牌? (即Azure AD B2C终结点的URL)-是否违反了返回带有401对象的常规规则?我对我的消费者是否期望太多,不知道如何与我选择的第三方身份验证提供商进行交互?
我的问题更多是与设计有关,但希望能得到任何技术示例。