使用Office.js访问令牌作为后端授权

Question

我正在开发一个Outlook外接程序，该外接程序由React前端和dotnet核心后端服务组成。我使用Office.js库检索访问令牌。

Office.context.mailbox.getCallbackTokenAsync({isRest: true}, async (result:Office.AsyncResult<string>) => {

});

访问令牌被发送到后端服务，并用于检索图访问和刷新令牌。

我的问题是，在从前端到后端的请求中，我还应该使用Office.js访问令牌作为Authorization标头吗？它会提供任何额外的安全级别，还是在我检索到Graph令牌后就可以丢弃它？

Answer 1

您取回的令牌仅可用于Microsoft Graph，并且仅可用于该用户的邮箱。如果使用https://jwt.ms解码令牌，则可以确切看到分配了哪些范围（这是非常有限的）。

如果您想利用用户身份作为自己的后端，则有两种选择。

• Authenticate a user with an SSO token in an Outlook add-in (preview)
• Authenticate a user with an identity token for Exchange

Authentication options in Outlook add-ins上提供了有关身份验证的概述。