使用服务器-服务器和应用到服务器的身份验证来保护Web API

Question

（2019）

  

我目前正在开发一个Web应用程序和一个宁静的Web API，它将成为面向资源的RESTful Web服务。我到了无法确定授权方式进行身份验证的方式以及要使用哪些工具/技术的地步。

     

对于要达到的目标，我给出了一个简单的逻辑，但是我不确定这是否是正确的方法，希望你们能帮助我弄清楚。   该Web应用程序和Web API是使用asp.net core 2.2构建的，数据库是NoSQL（MongoDB）

  

我的数据库中有很多资源，我想让一些第三方通过Web API（服务器到服务器）从数据库中检索数据。添加，删除，更新操作...仅由Web应用程序根据用户（管理员）的角色来完成。 Web应用程序通过Web API识别用户，然后该用户可以访问基于角色的几种方法。在此过程中，Web API首先需要对Web应用程序进行身份验证，然后给出Web应用程序对用户进行身份验证所需的内容。因此，用户没有直接访问Web API的权限。另一方面，如果第三方服务需要访问任何数据，则Web API应该在授予对任何数据的任何访问权限之前进行身份验证。同时，我需要一些有关第三方服务的信息，这些信息将被保存到数据库中，例如：每个呼叫最多可以传输数据。

     

我尝试了JWT，并在使用邮递员进行调试时（基本功能）工作（询问令牌然后做一些事情），但是我仍然不确定它是否是正确的工具。来自Azure活动目录和OAuth提供程序的B2C ...

     

谢谢