我有一个 ASP.NET Web API,没有用户身份验证,为两个客户端应用程序提供服务。
这很好的唯一原因是因为 API 不向公众开放,而只能由这两个应用程序的 IP 地址访问。
现在有一个计划向互联网开放API。这意味着我需要正确保护它。看起来OAuth2和OpenID Connect是要走的路。
问题是客户端应用针对不同的标识提供者进行身份验证,一个使用 Azure AD,另一个使用来自不同目录的 Azure AD B2C。
这能与OAuth2一起使用吗?
是的,请查看此 API 示例,该示例接受 AAD 和 AAD B2C 令牌。
https://github.com/azure-ad-b2c/apps/tree/master/apps/spa-hellojs/source-code/.Net-Core-API-RBAC