© Good_Stock/Shutterstock.com
Teil 1: REST-Services mit Azure Active Directory B2C schützen

API-Entwicklung - Aufrufe absichern


APIs sind die neuen Produkte. Diesen Stellenwert müssen wir auch bei ihren Anforderungen und Entwicklungen berücksichtigen. Erfahrungsgemäß sind der Schutz und die spätere Pflege häufige Fallstricke. Im ersten Artikel soll es daher um die Authentifizierung der Aufrufer eines API gehen und im zweiten Artikel um seine Veröffentlichung und Weiterentwicklung.

In Zeiten von Cloud – und im Speziellen von SaaS-Produkten – wird die Entwicklung und Bereitstellung von APIs immer relevanter: APIs sind die neuen Produkte. Die Azure-Plattform füllt sich beispielsweise mit immer neuen Diensten, die als REST-Service angeboten werden: Von alten Bekannten wie Gesichtserkennung bis zu neuen Location-based Services, die Routen anhand von Wendekreisen eines Fahrzeugs berechnen.

Wenn man nun selbst ein API bzw. einen Service anbieten will, steht man vor einigen Herausforderungen. Die bereits bekannten Schwierigkeiten, die Services innerhalb von Projekten verursachen, werden noch einmal verstärkt, da Endkunden damit lange arbeiten sollen. Sie müssen sowohl vernünftig gepflegt und dokumentiert sein als auch gegen unerlaubte Zugriffe geschützt, veröffentlicht, weiterentwickelt und auch abgerechnet werden können.

REST-API mit .NET Core 2.0

In diesem ersten Artikel soll es darum gehen, ein einfaches Beispiel für ein REST-API auf Basis von .NET Core 2.0 zu erstellen. Es enthält einen Car-Controller, der Autoressourcen zurückliefert. Neben den üblichen Get-Funktionen soll er auch eine Delete-Funktion enthalten, die jedoch später durch eine spezielle Managementrolle abgesichert wird. Der Zugriff auf das API soll lediglich durch authentifizierte Nutzer erfolgen. Dazu wird vorher ein Azure Active Directory B2C (AADB2C) aufgesetzt und mit unserem REST-Service verbunden. Das AADB2C kann zur Verwaltung von Nutzern sowie zum Ausstellen und Verifizieren von Tokens verwendet werden.

Im zweiten Artikel wird es darum gehen, wie der Service eine Weiterentwicklung und eine neue Version erhält. Das API so...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang