目前,我在Azure上托管了一个简单的web应用,该应用由Azure Active Directory保护。这个网站有一个虚拟目录,作为web api从我们的数据库中提取信息。网站的前端要求您登录,但是您可以通过键入后端(虚拟目录)的URL来绕过这一步,并且仍然能够在不进行身份验证的情况下提取数据(它只会看到GET请求并发送json数据)。在过去的几周里,我一直在尝试弄清楚如何确保您必须在前端登录才能查看此信息。当我试图让后端请求身份验证时,即使我发送的请求带有在前端进行身份验证时获得的持有者令牌,我也只