问访问Azure应用程序服务API应用程序的安全性

EN

在这一点上，您可以做的是：

1. 将WebAPI转换为App
2. 将访问级别设置为内部

这将使API应用程序只能从同一资源组的资源中访问。

现在，不幸的是，Web (前网站)虽然可以在同一个资源组上，但在预览中，它们并不完全支持Gateway实现，这意味着他们无法在资源组中发现API应用程序，并且请求看起来是外部的，因此内部API应用程序将无法访问。在我们支持这个(WebApps与网关完全集成)之前，一个解决办法就是让你有效地将WebApp变成另一个API。您仍然可以使用所有您知道和喜爱的Web特性，并获得您需要的内部API应用程序的功能，直到Web完全与Gateway一起使用为止。

您不必启用AAD来保护对API应用程序的访问，因为API应用程序现在是内部的。

如果您的web应用程序有AJAX (Javascript client)访问API应用程序，那么上述方法不起作用(如果API应用程序是内部的，那么它会阻止任何外部调用)，并且您已经将API应用程序的“访问级别”设置为“公共身份验证”。然后，您可以启用AAD身份验证，并利用生活在同一网关后面的应用程序之间的无缝身份验证。我们将为您生成一个令牌(x报头包含令牌)，您可以在每个请求中来回读取和传递令牌，以成功地验证请求。

唯一需要注意的是一些已知的问题，列出了这里