我有托管在Azure的API。它使用Microsoft Identity平台进行授权。现在我们需要为API集成APIM网关。APIM还提供OAuth授权。所以我的问题是我应该在APIM中为我的API配置OAuth,因为API将部署在APIM中,或者我可以继续使用正在完成其工作的微软身份平台。所以我正在寻找从APIM使用OAuth的好处,而不是抛出Microsoft Identity。换句话说,使用OAuth和使用同样依赖于OAuth的Microsoft身份有什么区别和优势?
每个API都应该对每个请求验证JWT访问令牌,然后使用令牌的作用域和声明来授权对资源的访问。这有时被称为零信任架构。
另一个重要的要求是避免将令牌中的敏感数据(如电子邮件)泄露给互联网客户端。幻影令牌模式在这方面有更多的信息,并且涉及到API网关的使用。
我倾向于在API前面有一个API网关的解决方案。这是一个托管最佳实践,还使您能够在网关中执行cookie和令牌转换等任务。
APIM是一种解决方案,所以如果它能提高你的API安全性,我会支持这种类型的选项。不过,还有其他Azure选项,所以在选择一个网关之前,有必要澄清你想在网关中做的事情的类型。API网关指南可能会给你一些想法。