Compartir a través de

身份验证场景和建议

如果你拥有在 Azure 应用服务中运行的 Web 应用或 API,则可以根据请求该应用的用户或应用程序的标识来限制对它的访问。 应用服务提供多种身份验证解决方案来帮助你实现此目标。 在本文中,你将了解不同的身份验证选项、其优缺点,以及用于特定方案的身份验证解决方案。

身份验证解决方案

  • Azure 应用服务内置身份验证 - 允许在 Web 应用、RESTful API 或移动后端中编写最少或零代码,从而登录用户并访问数据。 它直接内置于平台中,无需使用任何特定的语言、库、安全专业知识甚至任何代码。
  • Microsoft 身份验证库 (MSAL) - 使开发人员能够从 Microsoft 标识平台获取安全令牌,以便对用户进行身份验证并访问受保护的 Web API。 这些库可用于多个受支持的平台和框架,是可在各种托管环境中使用的常规用途库。 开发人员还可与多个登录提供程序(例如 Microsoft Entra)集成。
  • Microsoft.Identity.Web - 包装 MSAL.NET 的更高级别的库,它提供一组 ASP.NET Core 抽象,可简化向 Web 应用和 Web API(与 Microsoft 标识平台集成)添加身份验证支持的过程。 它提供了一个单面 API 便利层,该层将 ASP.NET Core、其身份验证中间件以及 MSAL.NET 绑定在一起。 此库可用于各种托管环境中的应用。 你可以与多个登录提供程序(例如 Microsoft Entra)集成。

场景建议

下表列出了每个身份验证解决方案及其使用时间的一些重要因素。

身份验证方法 何时使用
内置应用服务身份验证 * 你希望拥有和管理更少的代码。
* 应用的语言和 SDK 不提供用户登录或授权。
* 无法修改应用代码(例如,迁移旧应用时)。
* 需要通过配置而非代码来处理身份验证。
* 需要登录外部或社交用户。
Microsoft 身份验证库 (MSAL) * 需要多种不同语言之一的代码解决方案
* 需要添加自定义授权逻辑。
* 需要支持增量许可。
* 需要代码中有关已登录用户的信息。
* 需要登录外部或社交用户。
* 应用需要处理即将过期的访问令牌,无需让用户再次登录。
Microsoft.Identity.Web * 你有 ASP.NET Core 应用。
* 在本地开发期间,IDE 中需要单一登录支持。
* 需要添加自定义授权逻辑。
* 需要支持增量许可。
* 需要在 Web 应用中进行条件访问。
* 需要代码中有关已登录用户的信息。
* 需要登录外部或社交用户。
* 应用需要处理即将过期的访问令牌,无需让用户再次登录。

下表列出了身份验证场景和你会使用的身份验证解决方案。

方案 应用服务内置身份验证 Microsoft 身份验证库 Microsoft.Identity.Web
需要一种快速、简单的方法来限制组织中用户的访问?
无法修改应用程序代码(应用迁移场景)?
应用的语言和库支持用户登录/授权?
即使可以使用代码解决方案,也不愿使用库? 不想承担维护负担?
Web 应用是否需要提供增量许可?
需要在 Web 应用中进行条件访问?
应用需要处理即将过期的访问令牌,无需让用户再次登录(使用刷新令牌)?
需要自定义授权逻辑或有关已登录用户的信息?
需要从外部或社交标识提供者登录用户?
有 ASP.NET Core 应用?
有单页应用或静态 Web 应用?
想要 Visual Studio 集成?
在本地开发期间,IDE 中需要单一登录支持?

后续步骤

要开始使用内置应用服务身份验证,请阅读:

要开始使用Microsoft 身份验证库 (MSAL),请阅读:

要开始使用Microsoft.Identity.Web,请阅读:

详细了解应用服务内置身份验证和授权