在Azure AD B2C中指定多个/通配符回复URL

时间:2018-12-13 20:14:14

标签: azure-ad-b2c

我们有一个新闻应用程序,其中回复URL不固定。它可能是我们系统中的任何东西。 Azure AD B2C当前在应用程序中仅支持20个回复URL,因此我们也无法添加更多回复URL。

所以我们要么需要 1.通配符回复网址或 2.通过某种方式获得所需的尽可能多的答复URL。

1 个答案:

答案 0 :(得分:1)

通配符回复网址有潜在威胁

与此相关的威胁称为“打开重定向器”,并且在4.1.5 (Threat: Open Redirectors on Client)4.2.4 (Threat: Open Redirector)RFC 6819 (OAuth 2.0 Threat Model and Security Considerations)部分中进行了讨论。缓解措施在5.2.3.5 (Validate Pre-Registered “redirect_uri”).

部分中指定

当答复URL的数量很大并且基于某些输入参数时,建议考虑以下做法:

  • 为每个应用创建一个“通用”回复URL,并将其注册到AAD B2C中。来自AAD B2C的所有回复都将转到此回复URL。
  • 应用程序可以在本地客户端上存储与品牌相关的信息(例如会话cookie,HTML5本地存储)。
  • 授权请求后,Azure AD B2C会将响应发送回“通用”回复URL。
  • 这时,应用程序可以读取本地存储并根据本地存储的参数重定向到正确的URL。

此方法还具有更高的可伸缩性,因为不需要在应用程序中注册每个答复URL。同样,从应用程序中删除某些商标时,也没有记住要从应用程序中删除该回复URL的管理任务。

对于某些应用程序(例如新闻网站),这是避免在目录中保留数千个(如果不是)答复URL的唯一实用方法。