在理解oAuth2.0和在azure APIM中使用入站策略验证jwt令牌之间的关系时,我有点困惑。它们是完全不同的吗?或者当它们一起应用时,它应用了什么额外的安全性。如果我只应用入站策略来验证没有oAuth2.0配置的JWT令牌,会怎么样?
对api使用OAuth 2.0授权来保护api的过程是:
- 在Azure AD中注册应用程序,并授予用户使用有效的OAuth令牌从它访问API。
- 该令牌被添加到APIM的API请求的授权头中。
- 该令牌可以由APIM使用
validate-jwt策略进行验证。
此Validate JWT策略用于在APIM中预授权请求。
正如Will在评论中所说,validate-JWT策略强制JSON web令牌的存在和有效性来自指定的查询参数或HTTP头。
请参阅包含在产品级别、API级别和所有API级别配置JWT验证策略的实际解决方案的文章,其中解释了需要OAuth 2.0实现来更安全地保护API。
validate-jwt策略实际执行令牌。
将API与OAuth/OpenID连接服务器关联,在导出API时实现API中相应元数据的存在,并在Developer门户中启用身份验证UI,以便您的客户可以轻松测试您的API。
如果您依赖于APIM来验证JWT,两者都是有用的。但后者在后端而不是APIM进行验证的情况下也很有用。