Escenario: API web protegida

En este escenario, aprenderá a exponer una API web y a protegerla para que solo los usuarios autenticados puedan acceder a ella.

Para usar la API web, habilite usuarios autenticados con cuentas profesionales y educativas, o bien habilite cuentas personales de Microsoft.

Características específicas

La información específica que tiene que conocer para proteger las API web es la siguiente:

  • El registro de la aplicación debe exponer al menos un ámbito o un rol de aplicación.
    • Los ámbitos se exponen mediante API web a las que se llama en nombre de un usuario.
    • Los roles de aplicación se exponen mediante las API web a las que llaman las aplicaciones de demonio (aplicaciones que llaman a las API web en su propio nombre).
  • Si crea un registro de aplicación de API web, elija la versión del token de acceso aceptada por la API web para el valor de 2. En el caso de API web heredadas, la versión del token aceptada puede ser null, pero este valor restringe el público que inicia sesión a solo las organizaciones y no se admiten cuentas Microsoft (MSA) personales.
  • La configuración de código de la API web debe validar el token usado cuando se llama a la API web.
  • El código de las acciones de controlador debe validar los roles o ámbitos del token.

Si no está familiarizado con la administración de identidades y acceso (IAM) con OAuth 2.0 y OpenID Connect, o incluso si es nuevo en IAM en la plataforma de identidad de Microsoft, debe dar máxima prioridad a leer los siguientes artículos.

Aunque su lectura no es necesaria antes de completar el primer inicio rápido o tutorial, se tratan temas fundamentales para la plataforma, y estar familiarizado con ellos le ayudará a medida que crea escenarios más complejos.

Pasos siguientes

Avance al siguiente artículo de este escenario, Registro de la aplicación.