在Azure AD B2C中指定多个/通配符回复URL

Question

我们有一个新闻应用程序，其中回复URL不固定。它可能是我们系统中的任何东西。 Azure AD B2C当前在应用程序中仅支持20个回复URL，因此我们也无法添加更多回复URL。

所以我们要么需要 1.通配符回复网址或 2.通过某种方式获得所需的尽可能多的答复URL。

Answer 1

通配符回复网址有潜在威胁

与此相关的威胁称为“打开重定向器”，并且在4.1.5 (Threat: Open Redirectors on Client)的4.2.4 (Threat: Open Redirector)和RFC 6819 (OAuth 2.0 Threat Model and Security Considerations)部分中进行了讨论。缓解措施在5.2.3.5 (Validate Pre-Registered “redirect_uri”).

部分中指定

当答复URL的数量很大并且基于某些输入参数时，建议考虑以下做法：

• 为每个应用创建一个“通用”回复URL，并将其注册到AAD B2C中。来自AAD B2C的所有回复都将转到此回复URL。
• 应用程序可以在本地客户端上存储与品牌相关的信息（例如会话cookie，HTML5本地存储）。
• 授权请求后，Azure AD B2C会将响应发送回“通用”回复URL。
• 这时，应用程序可以读取本地存储并根据本地存储的参数重定向到正确的URL。

此方法还具有更高的可伸缩性，因为不需要在应用程序中注册每个答复URL。同样，从应用程序中删除某些商标时，也没有记住要从应用程序中删除该回复URL的管理任务。

对于某些应用程序（例如新闻网站），这是避免在目录中保留数千个（如果不是）答复URL的唯一实用方法。