我们希望启用以下方案:
用户可以使用Azure AD B2C作为身份提供者登录Web应用程序。
用户还可以在FB messenger(基于MS Bot Framework构建)上与bot进行交互。他被要求登录,以便我们可以为他提供后续网络API呼叫的访问令牌。
用户可以访问他的FB信使上的持久性菜单,在那里他可以导航到实际网站的某些页面并立即登录。
我有以下问题:
Azure AD B2C可以与Facebook帐户关联一起使用吗?找不到任何样品......我现在在做什么:在FB登录按钮中,我将链接发送到我的一个bot服务器控制器方法作为间接级别。然后在这个方法中,我得到重定向Uri和FB正在添加到URL的帐户链接令牌,然后重定向到我的B2C策略URL,在状态和我自己的重定向Uri(不是FB中的那个)中传递这两个参数。这样,一旦身份验证完成,b2c重定向到我的机器人,我重建回调到fb url。这种方法有任何安全问题吗?
Thx!
答案 0 :(得分:0)
在查看此帖Facebook Messenger: get access token of linked account之后,似乎FB帐户链接在访问令牌方面并不真正有用。我期待与Amazon Alexa帐户链接类似的行为,但实际上它与使用访问令牌交换授权代码并通过FB管理此令牌无关......所以我只是要利用BotAuth代码{{3将访问令牌存储在bot状态...我真的不关心收集PSID ......
关于方案的最后一步,我们正在调查第一个身份验证流程中的Cookie重用。