Я сейчас возглавляя в то, что для меня это неизведанная территория ...API Secutiry в сочетании с AngularJs SPA
Что я хочу сделать, это Закрепление мой API с Azure. И я хочу, чтобы мое приложение было в состоянии «поговорить» с ним.
Так я уже обеспечили мое приложение с тем, что Azure AD Аутентификация дала нам ... я следовал этот метод ниже:
Guide: Securing AngularJS Single Page Apps with Azure AD
видео: AngularJS Module for Microsoft Azure Active Directory Authentication
и я не знаю, как заставить это работать с моим API или как его безопасно обеспечить в реализации Angularjs SPA Azure AD Authentication.
Так что я не после полного руководства или чего-то, что я действительно хочу изучить. Дело в том, что я даже не знаю, где начать тянуть за протектора, так сказать.
Кто-нибудь знает какие-либо хорошие указатели или имеет список шагов над тем, что я должен смотреть, а также, возможно, в порядке или что-то в этом роде.
Все, что было бы высоко оценено!
Заранее спасибо - Джон
---------------------- Edit/Follow-Up ---------- --------------
Хорошо, поэтому мне удалось защитить мой Api и подключить как клиент, так и api к тому же azure AD на старом портале.
И API, и Клиент теперь включены в ssl, поэтому они используют протокол https.
Когда я пытаюсь получить список контактов из api через почтальон, я получаю «Сообщение»: «Авторизация была отклонена для этого запроса».
Wich чувствует, как он делает то, что должен.
Но, когда я пытаюсь функция GET через клиент angularjs SPA я получаю код состояния 500.
$scope.fillTable = function() {
$http.get('https://localhost:44338/api/Contacts').success(function (data) {
var peopleList = data;
$scope.contactList = peopleList;
})
}
И по какой-то причине моего ключ авторизации даже не в заголовке как и должно быть из-за adal.js, как указано в документации.
Таким образом, я получаю свой ключ аутентификации, когда я вхожу в систему, а также, если я только добавляю «api/Contacts» в get funcction. Без остального адреса, который есть.
, но не тогда, когда я запускаю функцию get, как и должно быть.
ли должны быть в том же растворе для этого, чтобы работать как апи и клиент? Поскольку я уже исправил CORS и также установил oauth2AllowImplicitFLow в true в манифесте, а также превысил избыток в лазурном объявлении.
Я следовал за эти руководства в сочетании с представленными выше:
Protect a Web API using Bearer tokens from Azure AD
Integrating Azure AD into an AngularJS single page app
Enabling Cross-Origin Requests in ASP.NET Web API 2
Что вы используете для аутентификации, opendId connect? – Bonomi