AAD B2C-(3) 体验AAD B2C 保护WEB API

本文参照微软如下官方文档，且均使用ASP.NET作为示例代码，主要是演示AAD B2C对API的保护流程，给大家一个直观的感受，在后续的内容章节中，我们会介绍其他语言如何通过AAD B2C 进行保护。

1.使用 Azure Active Directory B2C 在 Web 应用程序中启用身份验证

https://docs.azure.cn/zh-cn/active-directory-b2c/tutorial-web-app-dotnet?tabs=applications

2.使用 Azure Active Directory B2C 授予对 ASP.NET Web API 的访问权限

https://docs.azure.cn/zh-cn/active-directory-b2c/tutorial-web-api-dotnet?tabs=applications

上一讲的案例:

主要介绍了一个WEB APP网站，使用ASP.NET开发，该网站使用AAD B2C进行认证授权，用户在浏览器可以直接调用AAD B2C的用户流（也就是使用AAD B2C提供的UI）完成用户注册/登录/修改密码的基本功能，同时，用户登录后，将TOKEN信息返回到这个WEB APP的页面中。

 

本讲第一个案例:

主要介绍了新增了一个WEB API网站，同样使用ASP.NET开发，该网站的API受AAD B2C保护，且WEB API和 第一个案例中的WEB APP 使用了同一个AAD B2C租户，也就是说第一个案例（WEB APP）用户登录后，可以直接使用登录后的Token调用第二个案例（WEB API）的API获取数据。

本讲第二个案例：

在体验完第二个案例后，我们使用Postman 模拟携带TOKEN向WEB API发起请求以获取数据。

视频讲解：

您可以在B站观看本讲视频：https://www.bilibili.com/video/BV17t4y1U7Um/

 

 

图文讲解：

 

本节内容使用上一节下载好的代码，并继续配置：

为WEB API创建应用程序：

注意回复URL保持与下图一致；

应用ID URI 可自行填写一个值，通常情况下，该值标识一组API权限。

 

在WEB API的已发布的作用域中增加如下两项：

通常情况下，我们可以将增加的作用域，用来精准控制某个API的访问权限；

如果有多个API的权限要求，则这里可以配置多个作用域；

本例中，为了配合示例代码，我们将设置read和write两个权限，后续在代码中，read 表示可以从API获取数据，write 标识可以通过API写入数据到存储中。

接下来在WEB APP的应用中，对WEB API的作用域进行授权，即WEB APP 可以访问WEB API的权限授权：

 

选中backendapi，在下拉列表中选择 全部3个作用域：

 

修改WEB API的配置文件：

其中本文视频中，在06：56秒处详细介绍了配置文件中的配置值在何处可以找到。

 

修改WEB APP的配置文件：

本文视频在08：47秒处详细介绍了这些值该如何配置；

 

启动WEB API( Task Service )项目：

 

登录成功后，可以在TODO LIST中 调用WEB API( TASK SERVICE) 中的API并取得数据：

 

如下图可以看到 TODO LIST的内容：

 

我们可以在代码中观察到 请求的WEB API的 URL：

 

在Postman中请求上一步中的API，会出现认证失败的情况，我们需要将用户从WEB APP登录后的Token带到请求中才能访问成功：

 

 

调试代码，将Token值复制出来并粘贴到Postman中：

可以看到，成功取出了数据：

 

截至目前，AAD B2C前三节内容的分享，用户TOKEN 都是通过UI实现的，后续的章节中，我们会分享如何通过其他方式直接获取用户Access Token然后调用WEB API。

 

本节内容结束！