Cenário: um aplicativo Web que chama APIs Web

Descubra o que você precisa saber para criar uma API Web que chama APIs Web.

Pré-requisitos

Esse cenário, no qual uma API Web protegida chama outras APIs da Web, baseia-se no Cenário: API Web protegida.

Visão geral

  • Um cliente de aplicativo web, de área de trabalho, móvel ou de aplicativo de página única (não representado no diagrama que o acompanha) chama uma API Web protegida e fornece um token de portador de Token Web JSON (JWT) em seu cabeçalho HTTP de "Autorização".
  • A API Web protegida valida o token e usa o método MSAL (biblioteca de autenticação da Microsoft) AcquireTokenOnBehalfOf para solicitar outro token de Azure Active Directory (AD do Azure) para que a API Web protegida possa chamar uma segunda API da Web ou uma API da Web downstream, em nome do usuário. AcquireTokenOnBehalfOfatualiza o token quando necessário. Diagram of a web API calling a web API

Especificações

A parte de registro do aplicativo relacionada às permissões de API é clássica. A configuração do aplicativo envolve o uso do fluxo On-Behalf-Of do OAuth 2.0 para trocar o token de portador JWT por um token para uma API downstream. Esse token é adicionado ao cache de token, em que ele está disponível nos controladores da API Web e pode adquirir um token silenciosamente para chamar APIs downstream.

Próximas etapas

Vá para o próximo artigo neste cenário, Registro de aplicativo.