У меня есть серверный API на веб-сайте Azure, который мне нравится защищать с помощью Azure AD.
Насколько я понимаю, сначала я выполню регистрацию приложения, использую регистрацию информации как часть входа в систему, чтобы вернуть токен клиенту.
Затем я могу отправить этот токен в API и проверить токен в серверном API, чтобы проверить его.
Но разве этот токен не дает доступ ко всем ресурсам подписки? Как мне ограничить регистрацию приложения только доступом к этому конкретному API? А еще нет другого API в подписке?
Мне также нравится иметь группу пользователей, которым разрешен доступ к API. Если я просто позволю всем войти в систему с помощью регистрации в приложении, все, кто находится в моей AD, получат обратно токен?
Могу ли я каким-то образом использовать корпоративное приложение, чтобы ограничить доступ только к API и разрешить только группу пользователей?
Или есть другой способ сделать это?