那些遇到过的问题

Azure AD元数据和userinfo不支持CORS

Rah*_*til 1 openid azure azure-active-directory openid-connect

我正在开发一个使用OIDC与Azure AD应用程序对话的JS应用程序.以下是身份验证和验证的流程 -

  1. 将用户重定向到常用登录端点
  2. 在回调网址上获取访问令牌,id_token等
  3. 使用从发现的URL检索的jwt密钥验证响应 - https://login.microsoftonline.com/common/discovery/keys
  4. 从已发现的userinfo网址获取用户信息-https://login.microsoftonline.com/common/openid/userinfo
  5. 根据设置,将信息存储在本地/会话存储中.

Azure AD的问题是,我们无法完成步骤3和4.两个URL都不支持CORS.我们无法验证我们获得的令牌,也无法检索用户信息.

有没有更好的方法来获取Microsoft的OpenID for Azure AD实现中的userinfo?

Sac*_*aca 7

您是对的,Azure AD不支持元数据URL或密钥URL的CORS.

一般指导是不验证id_token,因为您应该仅将这些声明用于显示目的而不是驱动任何核心功能.

对于核心功能(也称为API调用),您应该使用access_tokens,后端应该验证,不需要启用CORS的端点.

你会看到这些校长在Azure的AD SPA样品,其中authContext.getCachedUser()adal.js 用来获得阅读用户,没有任何验证它的要求.

如果您需要更多经过验证的用户信息,则指导的是调用Graph以通过Microsoft Graph的/ me端点获取用户信息.您可以在Azure AD Xamarin示例中看到此模式.

您可以在Azure AD反馈论坛中为请求投票:添加对发现和json Web密钥集端点的CORS支持.

归档时间:

查看次数:

732 次

最近记录:

6 年,7 月 前
相关归档
代码优先与Azure表存储的身份 16
OpenID开发和调试工具 14
从用于Google API的Azure网站中的p12证书生成X509Certificate2时出现502错误 12
未找到 ClientRegistrationRepository Bean 9
terraform:仅将公共IP添加到一个azure VM 9
如何使用JwtSecurityTokenHandler和JWKS端点验证JWT? 8
从开发转向云时,从一个连接串切换到另一个连接串 6
如何修复https openid错误 6
如何在单个 ARM 模板中使用规则引擎部署 Front Door 5
打开 Azure StorageStreamDownloader 而不将其保存为文件 3
难疑归档
正则表达式匹配不包含单词的行? 4121
如何在Python中安全地创建嵌套目录? 3909
如何异步上传文件? 2841
获取屏幕大小,当前网页和浏览器窗口 1927
如何从列表中随机选择一个项目? 1656
你怎么读斯坦丁? 1389
显示屏上的转换:属性 1322
Android中的gravity和layout_gravity有什么区别? 1286
const int*,const int*const和int const*之间有什么区别? 1262
从不同的文件夹导入文件 1186