我希望使用 Azure API 管理为一些外部的、经过身份验证的 API(Twitter 等)提供集中式 API,利用application-only authentication。我想向类似仪表板的移动应用程序提供特定的推文等,而用户无需为每项服务使用自己的帐户进行身份验证。
到目前为止,我还没有找到任何关于这样做的文档或示例。政策看起来很有希望,但我还没有能够证明它们。或者可能为每个外部服务创建我自己的 API 应用程序(以正确处理身份验证),然后通过 API 管理管理该 API。
有人对实现这一目标的更好方法有想法/想法吗?谢谢。
感谢@DarrelMiller 让我走在正确的道路上
该解决方案最终只需将正确的不记名令牌作为标头传递,通过操作的入站策略中的 Set-Header 完成。Twitter 有关于如何为其服务获取不记名令牌的重要说明。
例子:
<inbound>
<set-header name="Authorization" exists-action="override">
<value>Bearer xxxxxxxxxxxxxxxxxxxxx</value>
</set-header>
<base />
</inbound>