Я создал приложение, состоящее из трех основных компонентов:
С этой структурой конечные пользователи ("потребители") могут создавать свои собственные учетные записи, используя метод аутентификации "Register", не прошедший проверку подлинности. Затем пользователи могут получать и обрабатывать свои собственные данные через аутентифицированные методы, защищенные заголовками авторизации на токенах.
Вот мой вопрос:
Как запретить неизвестным клиентам совершать вызовы в API, не создавая значительных накладных расходов или пересматривая стандартную функциональность авторизации веб-API?
В идеале, я бы хотел иметь какую-то таблицу идентификаторов для клиентских приложений, чтобы я мог разрешать новые клиентские приложения или запрещать их при необходимости.
Взгляните на параметр knownClientApplications в манифесте Active Directory. https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-application-manifest