Escenario: API web que llama a API web

Aprenda a compilar una API web que llame a las API web.

Prerrequisitos

Este escenario, en el que una API web protegida llama a otras API web, se basa en Escenario: API web protegida.

Información general

  • Un cliente de aplicación web, de escritorio, móvil o de página única (no se representa en el diagrama siguiente) llama a una API web protegida y proporciona un token de portador JSON Web Token (JWT) en el encabezado HTTP "Autorización".
  • La API web protegida valida el token y usa el método AcquireTokenOnBehalfOf de la biblioteca de autenticación de Microsoft (MSAL) para solicitar otro token de Azure Active Directory (Azure AD) para que la API web protegida pueda llamar a una segunda API web o a una API web de bajada en nombre del usuario. AcquireTokenOnBehalfOf actualiza el token cuando sea necesario. Diagram of a web API calling a web API

Características específicas

La parte del registro de aplicación que está relacionada con los permisos de la API es clásica. La configuración de la aplicación implica el uso del flujo con derechos delegados de OAuth 2.0 para usar el token de portador JWT con el fin de obtener un segundo token para una API de nivel inferior. El segundo token en este caso se agrega a la caché de tokens, donde está disponible en los controladores de la API web. Este segundo token se puede usar para adquirir un token de acceso de forma silenciosa para llamar a las API de nivel inferior siempre que sea necesario.

Pasos siguientes

Avance al siguiente artículo de este escenario, Registro de la aplicación.