认证与授权？

Question

我刚接触过Azure ADB2C，对其中的一些术语感到困惑。

我正在建立一个摩托车骑自行车监测网站，我希望用户能够通过验证一个社交媒体身份(谷歌和微软帐户，目前)登录。

但我只希望用户谁是网站的成员能够使用某些功能。例如，我希望每一个认证的人都能够申请会员资格，阅读会员资格的好处等等，但我只希望成员能够发起骑行监控。

这里推荐的方法是只授权(而不是认证，如果我正确理解术语)某些经过身份验证的用户(即成员)使用骑行监控服务吗？

如果是的话，授权会员的最佳方式是什么？在一个独立的数据库中查找他们的电子邮件(我需要从身份验证过程中返回)并进行相应的操作？如果我这样做，最简单的方式是将他们的会员身份添加到他们的证书中，这样我就可以访问整个网站了？

很抱歉这里没有提供代码。但这更多的是一个设计问题，而不是一个编码问题。

Answer 1

Azure AD B2C主要是身份验证作为服务。在这里，有一些方法可以用来实现你想要达到的目标。

1. 您可以结合使用AADB2C (https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-reference-custom-attr)中的自定义(扩展)属性和AAD (https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet)。因此，当用户验证和申请成员资格时，可以调用AAD图形api来设置用户对象的自定义属性。在进行身份验证之后，您可以在令牌中获取扩展属性。此令牌将使您成为用户的成员。
2. 您还可以使用AAD组而不是自定义属性。在租户中，创建成员组。用户身份验证后，调用AADGraph设置/获取组的用户成员资格，这将提供授权信息。
3. 您也可以做您所描述的事情，在应用程序的数据库存储中维护这些信息。但是前两个功能为用户管理提供了内置的功能。