Azure AD 自动添加了 offline_access
Jas*_* He 5 azure-active-directory openid-connect microsoft-graph-api
对于 Microsoft OAuth 2.0 auth code grant,我们遇到了范围问题。
当我们再审只的User.Read范围内,我们的客户被要求将权限授予我们您登录并阅读您的个人资料,并访问您的数据随时随地。在我们没有说明我们需要offline_access范围的地方。
只有在 Microsoft 切换到新的权限授予界面后才会发生这种情况。有没有其他人遇到同样的问题,或者我们做错了什么?
在response_type我们传递的code唯一。
我仔细检查过,我们注册的应用程序在https://apps.dev.microsoft.com.
我们用于授权的 URL 如下。
https://login.microsoftonline.com/common/oauth2/v2.0/authorize
正如我之前所说,我们通过查询传递的唯一范围是User.Read.
编辑 3
请求 URL:(我已删除客户端 ID。)
https://login.microsoftonline.com:443/common/oauth2/v2.0/authorize?client_id={client_id}&response_type=code&redirect_uri=http%3A%2F%2Flocalhost%3A19974%2Fapi%2Fv1%2Fmicrosoft%2Foauth2%2Fsession&response_mode=form_post&scope=User.Read&state=1527572151-IIZ0D&nonce=1527572151-IIZ0D&prompt=consent&domain_hint=organizations
使用 fiddler 记录的响应:
POST http://localhost:19974/api/v1/microsoft/oauth2/session HTTP/1.1
Host: localhost:19974
Connection: keep-alive
Content-Length: 798
Cache-Control: max-age=0
Upgrade-Insecure-Requests : 1
来源: null
内容类型: application/x-www-form-urlencoded
用户代理: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/ 537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng, / ;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en,en -NZ;q=0.9,zh-TW;q=0.8,zh;q=0.7,zh-CN;q=0.6
DNT: 1
码= OAQABAAIAAADX8GCi6Js6SK82TsD2Pb7rUmGhJoHUB3devvTffqTlhRhg9XZ202zgEA8B37CzgkeLNVBc4FFstw3sTjNmYhKCYLE_jcl7KeCrtYgPVFYOKUuazv_B3vHKIM8ttwIzOlV_3GL4vqxPgjvXbWUdas5Sj9Z1X9fEBB63Wa1Ig0AnisnHk6qagIimFEPApYx473RzgIve2erM3r5fnX5Q0L1-pHppSFUJoWop6MPTkUh-umPzuXQgB280rHyUds3odS6_cJP6SbI70aLNOqHV_AnaV_VUZqQ6hLfBZMVKFMYMg_r_harPOU5EE2gf2d15FIKMsmjPRTR2vryaJRyg0TblF_jr-kWyeURwpbkPzsU6r3avEqM6dfTqhhASoXB4VmeZ2zw75pZgK4v8cfcd3J_tIpFRjcEY1TqPz5E3QrYQGfFSeBEEbjwqvj2X5_4VBvve7ABdrt3OCjid8E_837mLX-Fv5t3nk_nfnV0SY6XrFQQmoPClyqSyn44FTv_WFY7Af74SfeBrWDYSSiTuwphEmVTeT6U2R4Rs4wR8G0uHW2L53U-4UbkODd -_- JZYIahAohDAF-8TaguUwb4mOK497wsFOkgpmYz-np4MX3sTweSLmn6bAOy9Y91E3o4fuERzX9m9N_HBt64cv6k8JROKJqs6cx1Gb9EoYCRLCn2ihWi_crZh2PH5LACMCLWYgH0gAA&状态= 1527572151-IIZ0D&session_state = 1faeaab9-0f00-45cb-a776-356463a54684
编辑 4
今天,我在将项目升级到 .Net Core 2.1 的同时做了一些更多的测试。我注意到即使从界面上它正在确认Access your data anytime,但是当我使用代码交换访问令牌时,它不包含刷新令牌。
我注意到的另一件事是,当我将范围作为 传递User.Read,并且当我交换访问令牌时,范围返回为:User.Read User.ReadBasic.All。这有点不一致,但不是大问题。
小智 3
当使用带有 AAD 帐户的 v2 端点时,当前无法从初始同意屏幕中删除offline_access 范围。当请求令牌时,offline_access 范围仍然是明确请求的。
\n- 这有什么原因吗?如果我们能够了解造成这种情况的原因,那就太好了。 (2认同)
| 归档时间: |
|
| 查看次数: |
2413 次 |
| 最近记录: |