asp.netwebapi

“访问级别”下拉列表指定此应用程序针对该目录应具有哪些访问权限。

默认值“单一登录”可使该目录为您的应用程序发放令牌。 这简单确认了该应用程序已注册。

颁发机构不会为未注册的应用程序发放令牌，即使成功通过了身份验证也是如此。

其他访问权限包括“读取目录数据”和“读取和写入目录数据”，它们分别可使应用程序查询该目录和修改其内容。 其通过 Graph API 来执行此操作，Graph API 是一种基于 REST 的编程接口，可使来自具有 HTTP 堆栈的任何平台的应用程序获得对该目录的委托访问权。

我使用默认的“单一登录”访问级别，并且不演示 Web API 项目中的“图形”。

但这是 Windows Azure AD 的一项非常强大的功能。 有关 Windows Azure AD Graph API 的更多信息，请参阅 bit.ly/1aByRLS。

输入与 Windows Azure AD 租户关联的域后，单击“确定”，生成该项目。

该工具将执行两项任务：它将访问所选 Windows Azure AD 租户，并且添加一个描述正在创建的应用程序的条目。

它将发出 Web API 项目的代码，添加来自 Microsoft OWIN 组件的必要安全中间件以处理 Windows Azure AD 身份验证，以及生成必要的初始化代码以便根据所选 Windows Azure AD 租户验证传入令牌。第一个任务是通过 Graph API 执行的（Visual Studio 本身就是 Graph API 的一个客户端）。

为了在目录中添加描述正在创建的应用程序的条目，该工具需要从该目录中获得一个令牌，证明您具有在该目录中进行写入的必要权限。

正因为如此，单击“确定”后 Visual Studio 会向您显示图 3 所示的身份验证提示。图 3 帐户登录身份验证提示您要做的只是输入该目录的管理员凭据。

该工具将验证您是否具有执行所需操作的必要权限。 单击“确定”时，Visual Studio 会联系 Windows Azure AD 并创建项目文件。

您现在有了配置好的 Web API，可以规定只有来自指定

Windows Azure AD 租户的调用方才能获得访问权限。 让我们进一步了解一下。

转到“解决方案资源管理器”窗格，那里的根目录中会显示一个名为 Startup.cs 的文件。

如果您读过 Howard Dierking 上月发表的《Katana 项目入门》(msdn.microsoft.com/magazine/dn451439)，应当知道在应用程序启动时会调用此文件中的类。 本例中的实现非常简单：

public partial class Startup{ public void Configuration(IAppBuilder app) { ConfigureAuth(app); }}

因为这是标准实现，您应当能在 App_Start 解决方案文件夹下找到某个类中定义的 ConfigureAuth 方法。 它实际上就是 Startup.Auth.cs 文件。 内容如下所示：

public partial class Startup{ public void ConfigureAuth(IAppBuilder app)

{ app.UseWindowsAzureActiveDirectoryBearerAuthentication( new

WindowsAzureActiveDirectoryBearerAuthenticationOptions { Audience =

ConfigurationManager.AppSettings[\ Tenant =

ConfigurationManager.AppSettings[\ }); }}

app.Use* 命名约定建议该方法在 OWIN 管道中添加一个中间件实现。

此情况下，添加的中间件负责检查传入请求，查看 HTTP 头身份验证是否包含安全令牌。

您就是通过这种方式根据 OAuth 2.0 持有者令牌规范为请求提供保护（请参阅 bit.ly/W4OqA3）。

如果找到令牌，则会通过一些标准检查对它进行验证：该令牌是否是由预期的颁发机构颁发？ 该令牌在传输中是否遭到篡改？ 该令牌是否已过期？

如果此令牌一切正常，则中间件会在一个主体中投射其内容，