使后端API仅可通过Azure API管理访问

Question

我有多个部署在Azure中的Web API未应用身份验证，因此任何人都可以访问Internet访问Web API。

现在我想将身份验证应用于Web API，而不是在不同的Web API中实现相同的身份验证逻辑，我发现Azure API网关（API管理）是一个潜在的解决方案。通过Azure API管理文档，我了解到我可以应用诸如validate-jwt之类的策略来验证对后端Web API的请求。但是，后端Web API的端点仍可供用户使用。那么，我应该如何隐藏它们呢？通过定义子网络或Azure API管理具有此功能？

Answer 1

Azure API管理无法修改您的后端服务。它的作用仅限于作为代理。

您必须对每个Web API应用身份验证，或将防火墙配置为仅接受来自Azure APIM的请求。

Answer 2

或者你可以使用：

1. 基本身份验证
2. 相互证书权威性
3. VPN

，以确保您的后端服务Azure的API管理服务的通信。

Answer 3

研究在Azure API Management上设置TLS，以便与后端API的所有连接都必须通过API代理。