Adal.js和Azure签名密钥滚动

时间:2016-06-30 08:21:29

标签: adal rollover

我知道Adal.js不会验证令牌,但依赖于webapi,但是: 由于我找不到任何关于此的官方文档,我在这里发布它只是为了确定。

此库是否受Azure签名密钥翻转的影响:https://azure.microsoft.com/en-us/documentation/articles/active-directory-signing-key-rollover/

1 个答案:

答案 0 :(得分:1)

我想知道同样的问题,并在你所链接文章中描述Web applications / APIs accessing resources的部分找到答案。

  

访问资源的Web应用程序/ API

     

仅访问资源的应用程序(即Microsoft Graph,KeyVault,Outlook API和其他Microsoft API)通常只获取令牌并将其传递给资源所有者。鉴于它们不保护任何资源,它们不检查令牌,因此不需要确保它已正确签名。

     

使用仅限应用程序流(客户端凭据/客户端证书)的Web应用程序和Web API属于此类别,因此不会受到翻转的影响。

您不需要采取行动,但如果您想确保其有效:

  

您可以通过下载脚本并按照此GitHub repository中的说明验证您的应用是否支持自动密钥翻转。

修改:在comment section of the the same article

中找到了
  

ADAL库仅适用于充当客户端的应用程序,可帮助您检索令牌。如果您正在使用该令牌将其传递给Microsoft API(例如Microsoft Graph,Outlook API等),那么您没问题。如果您使用此令牌授予用户访问您的应用程序或API的权限,那么您需要查看验证令牌及其签名的任何代码,以确保它从元数据中提取密钥。