保护从Azure AD获得的承载令牌

时间:2017-10-13 18:18:51

标签: oauth azure-active-directory microsoft-graph bearer-token

在Azure AD OAuth 2.0端点上验证守护程序应用程序时获取的承载令牌的最佳做法是什么? 令牌是否可以仅发送到特定的URL?

1 个答案:

答案 0 :(得分:0)

  

我的问题更具体针对Azure AD。是否可以在Azure AD上配置应将持有者令牌仅发送到我的应用程序URL?

不确定是否完全理解这个问题,通常是令牌中的aud声明完全向相应的资源发出令牌。这意味着即使你发送你的令牌其他资源,它也是无效的。如果安全性意味着令牌自身像令牌泄漏,客户端应该安全地保存令牌,客户端和资源应该安全地通信,例如我们应该使用HTTPS而不是HTTP。