我正试图了解如何使用B2C来保护我的Web API。我的大多数功能都可供任何人使用,但有一些仅供管理员使用(例如删除帐户,列出所有用户等)。我看到我们可以设置一堆自定义声明,但用户似乎有权编辑这些声明。因此,例如,我可以设置一个属性为'Group'并将值设置为'User'或'Administrator',但在我看来,用户可以编辑此属性,从而使整个方案毫无价值。
那么,我们如何使用.net core 2.0和Azure AD B2C来实现用户组来保护API?
答案 0 :(得分:0)
Custom attributes 不可由用户编辑,除非它们在B2C政策中公开(如注册或编辑政策)
您可以通过Azure AD Graph API设置自定义属性。
或
您可以通过Custom Policies将JWT发送到B2C来设置自定义属性。一个例子是here。