我已经在Azure网站上部署了我的webapi,并通过Azure Api管理门户公开了它。我想阻止对azurewebsites url的访问,这样用户只能通过安全密钥通过azureaoi管理代理访问我的api。你能谈谈如何做到这一点吗。我听说可以使用相互证书,但在网上找不到任何描述创建此类证书和配置web api以有效使用它们的过程的文章。我的第二个问题是,是否有一种基于用户名/密码和产品名称获取Api主键的机制。关于保留api访问密钥的最佳方法是什么。客户端应用程序是否应该将其存储在某个配置文件中,并且应该在运行时通过程序获取?
非常感谢
有多种方法可以保护后端:
- 使用基本身份验证
- 使用相互证书身份验证https://azure.microsoft.com/en-us/documentation/articles/api-management-howto-mutual-certificates
- IP白名单。如果您有标准或高级实例,则代理的IP地址将保持不变
- 使用OAuth。示例如下:https://channel9.msdn.com/Blogs/AzureApiMgmt/Protecting-Web-API-Backend-with-Azure-Active-Directory-and-API-Management希望能有所帮助