我们正在尝试使用implict流程使用Web应用程序实施Azure AD B2C身份验证。我们可以登录并成功重定向到正确的网址,其中包含重定向网址(id_token& code)上的正确项目。但是,正如本文建议的那样(https://github.com/Azure/azure-content/blob/master/articles/active-directory-b2c/active-directory-b2c-reference-oidc.md#get-a-token),应用程序需要对令牌端点执行xhr POST请求,以检索应用程序需要与之交互的资源(web api)的令牌。但是,当我尝试对该令牌端点(https://login.microsoftonline.com/ {tenant} /oauth2/v2.0/token?p=b2c_1_signinpolicy)执行XHR POST时,浏览器(非常正确地)执行预检检查(OPTIONS调用) )确定它是否可以调用端点,因为它位于不同的域上。 OPTION调用有效,但它不包含浏览器允许POST调用端点所需的头文件(Access-Control-Allow-Origin)。
我错过了什么或做错了什么?
任何帮助表示赞赏!
乔恩
答案 0 :(得分:5)
Azure AD身份验证端点(B2C或其他)不支持CORS,也不会支持CORS。
对于Javascript应用程序,我们使用隐式流程response_type=token或response_type=id_token直接从授权端点获取令牌 - 无需CORS。随意尝试一下,它应该工作得很好。
我们之前说Javascript应用程序不受支持的原因是因为一小时后,使用此方法的id_token / access_token将过期。我们没有办法静默刷新/获取新令牌。这意味着在最好的情况下,您的Javascript 应用程序必须每小时重定向到AAD。
我们认为这是不可接受的,因此我们正在开发一种可以解决此问题的功能。但是现在我们将继续调用不受支持的Javascript应用。