背景:
我们的小组使用 Azure AD 对 Azure 中属于我们的资源进行身份验证和授权。也就是说,您需要使用您的工作 ID 登录才能验证它是我们组的成员。这就是团队成员如何使用我们拥有的 API 服务。
问题:
有人建议在 API 之上添加 OAuth 2.0 授权。我在这里感到困惑。它仅在内部使用并受 Azure AD 保护。通过 Azure AD 登录本身不就是某种 OAuth 2.0 身份验证吗?
最佳答案
如果 API 没有任何保护,则意味着任何人都可以访问端点并从 API 获取信息。例如,如果某个随机的人用手机以某种方式连接到您的 wifi 网络或硬连线笔记本电脑,如果端点上没有身份验证/授权,他们可以直接查询 api。或者如果它是在 azure 函数或其他东西上,那么很可能任何人都可以在互联网上访问它。
我很好奇您所说的资源受 azure 广告保护是什么意思。您具体在哪里设置的?例如,如果您使用 azure 函数作为 api 端点,并且在 azure 函数应用程序上激活了 azure 广告身份验证/授权,则您的 api 层是安全的,您可以访问代码中的用户 token 。在这种情况下,没有什么可做的。
关于azure - 为什么需要为已受 Azure AD 保护的 Azure 服务添加 OAuth 2.0,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62950337/