【发布时间】:2016-02-17 15:41:24
【问题描述】:
目前,我在 Azure 上托管一个简单的 Web 应用程序,该应用程序受 Azure Active Directory 保护。这个网站有一个虚拟目录,作为一个 web api 从我们的数据库中提取信息。网站的前端要求您登录,但您可以通过输入后端(虚拟目录)的 URL 来绕过它,并且仍然能够在不进行身份验证的情况下提取数据(它只是看到一个 GET 请求并发送 json数据)。在过去的几周里,我一直在尝试弄清楚如何确保您必须在前端登录才能看到这些信息。当我尝试使后端需要身份验证时,即使我使用从前端身份验证获得的不记名令牌发送请求,我也只会获得 401 未授权。
我已尝试寻找答案,但我的案例似乎有点过于具体,而且我发现并没有任何有用的资源。如果您知道实现此目标的正确方法或任何资源,您可以向我指出这将是一个巨大的帮助!如果有任何不清楚的地方或者我是否应该发布任何相关的代码示例,请告诉我(我真的不知道什么会有帮助)提前致谢。
【问题讨论】:
标签: .net azure authentication web-applications azure-active-directory