Age*_*dum 7 single-page-application azure-active-directory azure-ad-msal
我正在构建一个应用程序,它有一个前端(使用 Vue.js 构建的 SPA),它与后端(托管在 Azure 中)的几个基于 json 的 Web API 接口。Web API 需要通过 Azure Active Directory 进行保护,并且用户必须是安全组的成员。此外,如果用户没有作为一个帐户登录(即只是自动重定向),SPA 应该简单地尝试强制用户登录到已批准的帐户。
我实际上已经完成了所有这些工作。AAD 应用程序具有 Group.Read.All,用户通过 SPA 登录并给予同意,SPA 调用 getMemberGroups。此外,Web API 可以检查 SPA 提供的访问令牌,但不幸的是,Web API 还必须调用 getMemberGroups。
我认为这是我关心的问题。Web API 必须不断调用 getMemberGroups 来锁定它。如果我对服务进行身份验证,我可能只能在验证成员资格组后返回访问令牌。但随后我失去了 SPA 中简单的 MSAL 登录模型 - Web API 实际上不提供任何前端,SPA 是静态托管的。
据我所知,我无法让 Azure Active Directory 创建保证其中包含某些组声明的令牌。我想这会解决我的问题。
有人可以就围绕 SPA + Web API 环境设计身份验证模型的最佳方法提供一些建议吗?或者我采取的方法是唯一的方法吗?
谢谢!
小智 8
您可以按照此处的说明将群组声明包含在您的令牌中。您只需要修改应用程序清单中的“groupMembershipClaims”字段:
"groupMembershipClaims": "SecurityGroup"
然后令牌将包含该用户所属组的 ID,如下所示:
{
"groups": ["1ce9c55a-9826-4e32-871c-a8488144bb32"]
}
您还可以利用角色和组来控制应用程序的访问。您可以定义一些应用程序角色并将角色分配给组。然后该组中的用户将有如下声明:
{
"roles": ["admin"]
}
然后您可以根据用户的角色实现您的授权逻辑。
请参阅https://joonasw.net/view/using-groups-vs-using-app-roles-in-azure-ad-apps和https://learn.microsoft.com/en-us/azure/active-目录/develop/howto-add-app-roles-in-azure-ad-apps了解更多详细信息
| 归档时间: |
|
| 查看次数: |
7234 次 |
| 最近记录: |