方案:用于调用 Web API 的移动应用程序

了解如何构建用于调用 Web API 的移动应用。

入门

如果尚未创建你的首个应用程序,请完成以下快速入门进行创建:

概述

个性化无缝用户体验对于移动应用很重要。 移动开发人员可以通过 Microsoft 标识平台为 iOS 和 Android 用户创建该体验。 应用程序可将 Microsoft Entra 用户、个人 Microsoft 帐户用户和 Azure AD B2C 用户登录。 它还可以获取令牌,代表这些用户来调用 Web API。 为了实现这些流,我们将使用 Microsoft 身份验证库 (MSAL)。 MSAL 用于实现行业标准 OAuth2.0 授权代码流

Daemon apps

移动应用的注意事项:

  • 关键在于用户体验:在要求用户登录之前,让用户了解应用的价值。 只请求所需的权限。
  • 支持所有用户配置:许多移动业务用户必须遵循条件访问策略和设备合规性策略。 请务必支持这些关键方案。
  • 实现单一登录 (SSO):使用 MSAL 和 Microsoft 标识平台即可通过设备的浏览器或 Microsoft Authenticator(以及 Android 上的 Intune 公司门户)启用 SSO。
  • 实现共享设备模式:使应用程序可以在共享设备场景(例如医院、制造、零售和金融)中使用。 阅读有关支持共享设备模式的详细信息

详情

在 Microsoft 标识平台上生成移动应用时,请牢记以下注意事项:

  • 该用户第一次登录时,可能需要完成某些用户交互,具体取决于平台。 例如,在首次通过 Microsoft Authenticator(以及 Android 上的 Intune 公司门户)使用 SSO 时,iOS 会要求应用显示用户交互。
  • 在 iOS 和 Android 上,MSAL 可以使用外部浏览器来登录用户。 外部浏览器可能显示在应用顶端。
  • 不要在移动应用程序中使用机密。 在这些应用程序中,所有用户都可以访问机密。

如果你不熟悉 OAuth 2.0 和 OpenID Connect 的标识和访问管理 (IAM),甚至不熟悉 Microsoft 标识平台上的 IAM,请将下列文章加入你的阅读列表。

虽然在完成第一个快速入门或教程之前不需要阅读这些文章,但是它们涵盖了平台不可或缺的主题,熟悉它们将有助于构建更复杂的方案。

后续步骤

转到此方案中的下一篇文章,应用注册