在最近在伦敦举行的 Microsoft Cloud 路演期间,关于应用服务的一次会谈中出现了使用 AAD B2C 进行身份验证的内容。
目前可以将 Azure AD 添加为 API 应用的身份验证:
从没有授权标头的基于浏览器的 Web 应用程序调用此 API 应用程序会立即导致 302 重定向,然后是 401 响应。
在云事件中提到,可以从 Web 应用程序匿名调用 API 应用程序,并让 azure 应用程序服务处理重定向到 AAD 登录页面,在成功登录时获取令牌,然后传递调用到 API 应用程序并返回数据。
但是,我很难看到如何在调用 Web 应用程序不负责处理重定向的情况下实现这一点。通常,您将通过在客户端通过 AAD 获取不记名令牌并将其作为授权标头与 api 请求一起发送来处理来自 API 的 401 响应。
我在 Azure 站点和其他站点上经历了许多示例,所有示例都在客户端 Web 应用程序中处理登录/获取令牌。
这甚至可能吗?