繁体   English   中英

Azure API管理和Web App

[英]Azure api management and Web App

我已将REST服务托管在API管理上,并在仅由HTML页,javascript文件和CSS文件组成的Azure Web应用程序服务中使用了这些服务。

我想知道如何仅从Web应用程序(而不使用Azure AD和OAuth设置)限制访问API管理的REST端点。

客户端应用程序源在设计上以明文形式提供给使用它的任何人。 任何用户都可以在浏览器中打开开发人员工具,并查看为使应用程序正常工作而编写的代码。 因此,即使您使用某种秘密保护REST API并在应用程序代码中使用它与该REST API进行通信,世界上任何人都可以将我们的秘密应用到我们的应用程序中,并直接调用您的REST API,您将没有任何秘密区分他们的来电和您的应用发出的来电的方式。

OAuth和AAD可以在某种程度上起作用,但是即使它们允许您对用户(而不是应用程序)进行身份验证。 相同的用户可以轻松地跟踪您的应用程序对REST API的调用,并在其他任何应用程序中重现它们,而您又必须设法弄清这一点。

我认为您最好的选择是限制某个用户以任何想要的方式识别呼叫(即使是通过IP地址)。

您可以使用证书从Web应用程序身份验证到api管理。 您可以在api管理策略中验证的Web应用程序上的ssl认证指纹。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM