cob*_*nks 7 azure oauth-2.0 openid-connect
我们正在使用 Angular、.Net WebApi 和 Azure 来构建多个应用程序。我们一直在做的是通过隐式 oAuth2/OIDC 授权流通过 Azure AD 保护应用程序。
一切运行良好,但到目前为止我们已经有了一个简单的架构。IE '前端 App1' -> 'WebApi App1'
当我们向 AAD 请求令牌时,我们在令牌请求中发送资源(“WebApi App1”的应用程序 ID)。似乎这是令牌请求中的必需属性。这是如何扩展的?
假设我们有一种情况,“前端 App1”需要与“WebApi App1”和“WebApi App2”对话。我们是否需要发出多个令牌请求?人们在 Azure 中的这些情况下会做什么?将不记名令牌紧密耦合到一个资源似乎很奇怪。
似乎另一种方法是我可以将两个 api 应用程序配置为验证相同 Azure 租户和应用程序 ID 的令牌。这样令牌对任何一个应用程序都有好处,但这也不是很灵活,因为这意味着任何一个应用程序的所有令牌都对另一个应用程序有好处......
您有两个选择:
为每个 API 获取令牌是正常方法。
Azure AD 中的不记名令牌始终仅对一个 API 有效。它可以包含该 API 上调用用户/应用程序的范围/角色,这些值是应用程序清单中定义的简单字符串,例如 User.Read。这些值可能在 API 之间重叠,因此我们不能拥有对两个 API 有效的令牌。
| 归档时间: |
|
| 查看次数: |
1243 次 |
| 最近记录: |