在我的公司,我们正在使用azure API管理。我正在阅读微软文档,我关注的是产品和订阅。在第2个api上,我开始使用相关订阅的产品(我将其传递给我的开发同事,他们正在使用我们的移动应用程序)。在99%的api上,我们实现了jwt验证策略作为安全层。
作为开发需求,在没有订阅或jwt验证的情况下公开一个或两个api。我不明白订阅和它们的用途。我想为没有jwt策略的api生成一个特定的订阅密钥,但我认为这不是正确的方式,因为密钥将被硬编码到我们的移动应用程序中,我认为很容易被盗。
here policy jwt:
<validate-jwt header-name="Auth-token" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" clock-skew="600">
<issuer-signing-keys>
<key certificate-id="jwt" />
</issuer-signing-keys>
</validate-jwt>
正如您所说,订阅键将是硬编码的,您还需要手动旋转它。
带有不记名令牌的Jwt是一种更好的方法,因为令牌有到期日期,这使得它们更好。
如果你想要RBAC, Azure活动目录也是不错的选择。
详细信息请参考以下文档。