我想我不明白这里的明显内容。
如果我在API管理中配置了一个API应用,以便URL / B除了启用/ A URL的基本订阅/角色之外还需要单独的订阅/角色,我是否必须通过检查当前用户角色来在应用本身中进行授权?
我很困惑,因为API应用程序还具有其公共URL,并且可以直接访问。它还将具有API管理URL。因此,即使我设置了所有限制和所有策略,也可以通过直接访问应用程序来忽略它们。
API App不能仅是内部的,具有配置的身份并且仅允许来自API Management的连接吗?如何设置身份验证,以便用户必须通过API管理?
答案 0 :(得分:1)
在将API置于API管理之后,您应该将后端API的URL作为自己的私有URL,只有在需要时才使用。
您和您的API使用者都应仅使用公共API管理URL,以便获得API Management Gateway的好处。不要给外部各方您的后端API的公共URL。
您有多种选择来保护您的后端API。其中包括使用Azure AD,certificates,基本身份验证,甚至只允许Azure API管理IP地址连接到您的后端API。
这取决于您的后端API的托管位置,所使用的API管理层(某些选项仅在Premium中可用),最后取决于您的后端API具有什么功能。
有关以上所有内容的详细信息,请参见this post。
希望这会有所帮助!