我正在开发一个调用另一个WebApi的WAAD WebApi。
我在WAAD中创建了两个应用程序。我可以从一个WebApi连接到另一个。但是当我创建第三个应用程序时,我也可以获得第三个应用程序的令牌。
有没有办法阻止App1获取App3的令牌,只获取App2应用的令牌。
我知道可以选择为App2创建委派权限并将此权限添加到App1,但据我所知,这不会阻止App1获取App3的令牌。
我知道我的问题有点神秘,但随时可以提出更多细节。
答案 0 :(得分:1)
你的问题并不神秘。答案是:不。 Azure AD允许在目录中注册的所有服务相互获取客户端凭据流令牌(服务访问令牌服务)。在资源服务代码中,您需要根据调用服务/应用程序的ObjectId或AppId“授权”调用。
能够在令牌发布时限制此类访问是我们考虑包含在AAD中的一项功能 - 但我建议您通过在资源服务上执行此简单的ACL检查来解锁。
希望有所帮助。