【发布时间】:2016-07-11 18:01:21
【问题描述】:
请帮助我保护从外部访问 Azure 中的 APP 服务(Api APP)。 我需要禁用外部 IP。我有应该可供所有人使用的 Web 应用程序和应该可供 WEB 使用但 不可用 对其他人可用的 API 应用程序。
谢谢, 米科拉
【问题讨论】:
标签: azure azure-api-apps
【发布时间】:2016-07-11 18:01:21
【问题描述】:
您不能真正禁用 WebApp 的外部 IP 地址。 您可以通过多种方式保护 API 应用程序。
第一种方法是使用 Azure AD 承载令牌身份验证来保护它。在此处查看此示例:https://azure.microsoft.com/en-us/documentation/articles/active-directory-devquickstarts-webapi-dotnet/
一旦受到保护,您可以在后面的代码中使用ADAL 来获取令牌以调用 API。
但是我想在这里提出一个问题 - 您认为您的网络应用程序将如何与 Web API 进行通信?通过浏览器中的 JavaScript,或来自 Code Behind。因为如果您从浏览器内的 JavaScript 调用您的 Web API,那么您的问题毫无意义!因为实际上每个用户都需要访问您的 API 才能让 JavaScript 进行调用!
另一种方法是为您的 API 创建一个应用服务环境(对于您想要实现的目标而言,成本相当高)。然后,您可以将此应用服务环境放入虚拟网络的子网中。您将 Web 应用程序放入另一个 Web 应用程序服务计划并将其连接到同一个虚拟网络。 然后你定义这样的网络安全组,你只允许内部访问你的应用服务环境。
最后,我真的怀疑您是否要禁用对 Web API 的 Internet 访问。您只是想保护它,而 IP 地址过滤并不是保护 Web API 的最佳方式。
【讨论】:
-
应用服务环境文档:azure.microsoft.com/en-us/documentation/articles/… 它声明如下:“这允许您在上游设备和服务(例如 Web 应用程序防火墙和网络 SaaS 提供商)后面运行应用程序。”所以它是一个子您可以通过应用服务环境获得的功能
-
我回答的整个第二部分是关于应用服务环境的!以及如何实现“隐藏”!
除了已经建议的 AD 持有者令牌之外,您还可以使用客户端证书或使用 HTTP 基本身份验证的简单共享密钥。
【讨论】: