저는 Azure Active Directory로 웹 API 리소스를 보호하는 방법에 대해 고민하고 있습니다. 현재 Azure AD 로그인 페이지로 사용자를 리디렉션하는 앵귤러 2 앱이 있으며 그 대가로 id_token을받습니다. 이 ID 토큰은 후속 통화에서 무기 토큰으로 사용되며 작동하는 것 같습니다. 내 질문은 여기에있다.Windows Azure Active Directory 무기명 인증
public void ConfigureAuth(IAppBuilder app)
{
app.UseWindowsAzureActiveDirectoryBearerAuthentication(
new WindowsAzureActiveDirectoryBearerAuthenticationOptions
{
TokenValidationParameters = new TokenValidationParameters
{
ValidAudience = ConfigurationManager.AppSettings["ida:ClientId"],
ValidateIssuer = true
},
Tenant = ConfigurationManager.AppSettings["ida:TenantId"]
});
}
여기서 우리는 무기명 토큰에 대한 유효성 검사를 수행하는 것 같습니다. 내가 정말로 이해하지 못하는 것은 그것이 어떻게 작동하는지이다. 모든 API 호출에서 Azure AD와 통신하고 있습니까? 그렇다면 이것이 이상적인 접근 방법인가? 그렇지 않은 경우 누군가가 자신의 토큰을 만들고 API를 해킹하는 것을 어떻게 막을 수 있습니까?
내가 이해할 수없는 중요한 지식이 있습니다. 이해가 잘 안되는 자료가 있으면 제안을 읽어보십시오.
감사합니다.