시나리오: 보호된 웹 API

이 시나리오에서는 웹 API를 노출하는 방법과 인증된 사용자만 액세스할 수 있도록 웹 API를 보호하는 방법을 알아봅니다.

웹 API를 사용하려면 직장 및 학교 계정 둘 다에서 인증된 사용자를 사용하도록 설정하거나 Microsoft 개인 계정을 사용하도록 설정합니다.

특수 적용 사항

웹 API를 보호하기 위해 알아야 할 구체적인 정보는 다음과 같습니다.

• 앱 등록은 하나 이상의 범위 또는 애플리케이션 역할을 노출해야 합니다.
  • 범위는 사용자를 대신하여 호출되는 웹 API에 의해 노출됩니다.
  • 애플리케이션 역할은 디먼 애플리케이션에서 호출하는 웹 API에 의해 노출됩니다(자체 웹 API를 호출하는 앱).
• 새 웹 API 앱 등록을 만드는 경우 웹 API에서 허용하는 액세스 토큰 버전을 2 값으로 선택합니다. 레거시 웹 API의 경우 허용되는 토큰 버전은 null일 수 있지만 이 값은 로그인 대상을 조직으로만 제한하며 개인 MSA(Microsoft 계정)는 지원되지 않습니다.
• 웹 API에 대한 코드 구성은 웹 API를 호출할 때 사용되는 토큰의 유효성을 검사해야 합니다.
• 컨트롤러 작업의 코드는 토큰의 역할이나 범위의 유효성을 검사해야 합니다.

추천 자료

OAuth 2.0 및 OpenID Connect를 사용한 IAM(ID 및 액세스 관리)을 처음 접하거나 Microsoft ID 플랫폼에서 IAM을 처음 접하는 경우 다음 문서 집합을 먼저 읽어야 합니다.

첫 번째 빠른 시작 또는 자습서를 완료하기 전에 반드시 읽어야 하는 것은 아니지만 플랫폼에 필수적인 주제를 다루고 있으므로 숙지하면 보다 복잡한 시나리오를 빌드할 때 도움이 됩니다.

인증 및 권한 부여

• 인증 기본 사항
• ID 토큰
• 액세스 토큰

Microsoft ID 플랫폼

• 대상 그룹
• 애플리케이션 및 서비스 주체
• 권한 및 동의

다음 단계

이 시나리오의 다음 문서인 앱 등록으로 이동합니다.