我已经在API管理上托管了我的REST服务,并使用Azure Web应用服务中的那些服务,该服务仅包含HTML页面,javascript文件和CSS文件。
我想知道如何仅在没有Azure AD和OAuth设置的Web应用程序中限制访问API管理的REST端点。
答案 0 :(得分:1)
客户端应用程序源可以通过设计以明文形式提供给使用它的任何人。任何用户都可以在浏览器中打开开发人员工具,查看您编写的代码以使应用程序正常工作。因此,即使您使用某些秘密来保护您的REST API并在应用程序代码中使用它来与REST API进行通信,世界上的任何人都可以将应用程序的秘密带入我们的应用程序并直接调用您的REST API,您就没有了区分他们的电话与您的应用程序拨打的方式。
OAuth和AAD会在一定程度上起作用,但即使它们允许您对用户进行身份验证,也不会对应用进行身份验证。同一个用户可以轻松跟踪您的应用程序对REST API的调用,并在任何其他应用程序中重现它们,您再次必须想办法解决这个问题。
我认为你最好的选择是限制某个用户以任何你想要的方式识别它(即使是通过IP地址)。
答案 1 :(得分:0)
您可以从Web应用程序使用证书身份验证进行api管理。您可以在api管理策略中验证的Web应用上的ssl认证指纹。