我想知道是否有可能限制对azure web应用程序的访问(它作为api起作用,所以我不希望通过url进行公共访问)通过托管身份访问api管理器?我所看到的一切都是使用Azure HTTP函数,而不是web应用程序我假设这样做,用户在广告也可以直接访问web应用程序?
是有可能的。你的后端API需要检查:
- 在API应用程序注册时定义的应用程序权限(apple),并通过PowerShell分配给Managed Identity
- 或者检查令牌中的对象id是否与托管身份 匹配。
在第一个选项中,其他应用程序将无法直接使用API,除非该权限由应用程序管理员/全局管理员授予该客户端应用程序。第二个选项完全阻止其他应用程序直接使用该API。在这两种情况下,你都将让API管理策略获得一个针对API应用程序注册的访问令牌。