Scenario: beveiligde web-API

In dit scenario leert u hoe u een web-API beschikbaar maakt. U leert ook hoe u de Web-API kunt beveiligen, zodat alleen geverifieerde gebruikers er toegang toe hebben.

Als u uw web-API wilt gebruiken, schakelt u geverifieerde gebruikers in met zowel werk-als school accounts of schakelt u persoonlijke micro soft-accounts in.

Opsporingsgegevens

Hier vindt u specifieke informatie die u moet kennen om Web-Api's te beveiligen:

  • De registratie van uw app moet ten minste één bereik of een toepassingsrol weer geven.
    • Bereiken worden weer gegeven door Web-Api's die namens een gebruiker worden genoemd.
    • Toepassings rollen worden weer gegeven door Web-Api's die worden aangeroepen door daemon-toepassingen (die uw web-API op eigen naam aanroepen).
  • Als u een nieuwe web API-app-registratie maakt, kiest u de versie van het toegangs token die door uw web-API is geaccepteerd 2 . Voor verouderde web-Api's kan de geaccepteerde token versie zijn null , maar deze waarde beperkt de aanmeld doel groep tot alleen organisaties en persoonlijke micro soft-accounts (MSA) worden niet ondersteund.
  • De code configuratie voor de Web-API moet het token valideren dat wordt gebruikt wanneer de Web-API wordt aangeroepen.
  • De code in de controller acties moet de rollen of bereiken in het token valideren.

Als u geen ervaring hebt met het beheren van identiteits-en toegangs beheer (IAM) met OAuth 2,0 en OpenID Connect Connect, of zelfs alleen voor de IAM op het micro soft Identity-platform, moet de volgende set artikelen hoog zijn in uw Lees lijst.

Hoewel het niet vereist is om te lezen voordat u uw eerste Snelstartgids of zelf studie hebt voltooid, hebben ze de onderwerpen integraal aan het platform en vertrouwd met ze om u op weg te helpen bij het bouwen van complexere scenario's.

Volgende stappen

Ga naar het volgende artikel in dit scenario, app-registratie.