使用Azure AD客户端凭据流时,如果客户端应用程序 NOT 已授予访问所请求资源的权限,oauth2端点(azure广告)是否应生成承载令牌?我确信在这种情况下它曾经是错误的,但我现在看到了不同的行为(即使客户端应用程序 NOT 拥有资源应用程序的权限,现在也提供了有效的承载令牌。)< / p>
答案 0 :(得分:3)
在使用客户端凭据流时,我们始终允许令牌成为两个服务之间的问题。这种情况基本上是守护进程服务之间的S2S。
此处需要注意的重要一点是,AAD的内置授权模型利用了SCP和ROLE声明,它们出现在令牌中,可以帮助您的API了解它的权限由用户授予。
但是,在这种情况下,我们还希望您使用自己的授权层。例如,您可以简单地列出客户端应用程序的App ID,以允许它对您的API进行S2S调用,而令牌中不存在任何ROLE声明。此处的令牌颁发行为启用了此方案。