Ciao!

Minimal API sono la controparte di Web API, quindi si suppone che esista un sito web (per esempio una single page web application) che abbia gia' la logica di sign in/sign up per l'utente.

Quindi:
- l'utente si registra sul sito e fa il sign in
- il front end richiede un access token all'identity provider (quindi Identity Server, Azure Active Directory, Azure AD B2C, o quant'altro)
- il front end chiama l'API passando il token nell'header della richiesta
- qui entra in gioco la logica dello script, il middleware di autentication valida il token, e il middleware di authorisation accetta la richiesta all'endpoint o meno, se questa e' marcata come RequireAuthorization