我正在开发一个安卓应用程序,不需要任何登录使用它。这个应用程序将调用我创建的Azure API Management上的端点。
是否有可能确保只有客户端(应用程序)能够调用API?我已经尝试了这个教程,但它似乎需要用户在Active Directory上进行身份验证。
如果您使用OAuth和令牌来访问API,您可能需要查看一下客户端凭据。它是客户端(您的应用程序)进行身份验证并获得访问令牌的流程,无需任何用户交互。在移动环境中,你需要动态注册应用程序的每个安装,这样每个应用程序都有自己的秘密。您不能使用一个秘密并将其编译到您的代码中,因为任何人都可以窃取它。如果DCR对你来说太多了,你可以使用某种代理——让你的应用程序与后端服务通信,后端服务又会与OAuth服务器通信。这样的后端服务可以保留一个秘密,并使用它来获取客户端凭证令牌。