我使用Azure AD为Web API授予本机或Web应用程序权限。我正在从本机应用程序(UWP或IOS)生成令牌并授权Web API。在使用邮递员调用测试api时,我能够在不同的机器中使用令牌并能够调用api方法(没有任何401未经授权的错误)。如何避免这种情况?我的问题是如何提示用户始终注册他们的设备?或者如何验证设备特定的令牌?
答案 0 :(得分:0)
我的问题是如何提示用户始终注册他们的设备?
我假设您正在使用客户端授权流程通过Postman获取访问令牌。使用客户端授权流程,您将直接获得访问令牌而无需用户登录。此外,Azure AD端点不支持验证设备的此类声明。
由于您已获得访问令牌,因此您可以在其他设备中使用它。这意味着您只需通过设备访问资源。
如何验证设备特定的令牌
Azure AD不支持此类声明或使用设备ID等身份验证。通常,您不应将访问令牌暴露给其他设备。如果您在其他设备中使用访问令牌,则表示该设备应由您控制。你需要接受这个事实。
我建议您使用authorization code grant flow并且不要跨设备转移令牌。