Я только что проверил. LGTM. Какая роль должна соответствовать? как это разрешено InWeb (ASP.NET Core 2.0)? Я просто использую Authorize attr. обновил вопрос с помощью InWeb auth config.

я есть приложение для веб-API в Azure, ориентированное на Интернет (PubWeb), поэтому оно используется из любого места. И я создал веб-API (опять же, в Azure, назовем его InWeb). И я хочу строгие правила безопасности:

InWeb должен использоваться только PubWeb. Это может включать некоторую сетевую безопасность - это простая часть (в Azure).Чтобы использовать службы InWeb, необходимо как-то авторизовать PubWeb в Azure AD. Сервисные Принципы, сертификаты и т. Д. Приходит на ум. Но я не уверен.

Так что же является лучшим решением для 2?

ОБНОВИТЬ - вот настройка InWeb Core 2.0 Auth:

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(sharedOptions =>
    {
        sharedOptions.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddAzureAdBearer(options => Configuration.Bind("AzureAd", options));

    services.AddMvc(options => { options.InputFormatters.Add(new TextPlainInputFormatter()); });
}

Ответы на вопрос(1)

Ваш ответ на вопрос