为什么在Azure B2C本机重定向URI中不允许使用HTTP？

Question

我只想使用通用链接返回我的应用程序，而不必担心其他应用程序“劫持”我的应用程序URI。

现在，我正在尝试将Azure B2c集成到本机客户端中，我想知道为什么B2C要求我指定自定义uri（例如myapp://）作为重定向。

问题：

• 为什么在B2C上禁用HTTP / S？他们担心什么风险或功能？

• 如果我在应用程序上使用了非通用链接，而恶意应用程序重用了该标识符（myapp://），我需要注意哪些风险？

我正在为应用内多因素（Phonefactor？）添加标签，以防部分原因是不支持该因素的原因。 （无论如何，我不能简单地重定向回本机客户端中的该应用程序）

Answer 1

您说的不对，您是正确的，您可以在此处对功能请求进行投票，以便产品团队优先考虑此版本。 https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/19688731-support-azure-ad-native-app-flow-in-azure-ad-b2c

与其他本机应用程序重定向选项相比，

应用程序声明的“ https”方案重定向URI与其他本机应用程序重定向选项相比具有一些优势，因为操作系统可以将目标应用程序的身份保证给授权服务器。因此，本机应用程序应尽可能在其他选项上使用它们。Web平台还声明了client_secret，这会引发安全问题，因此不鼓励在本机应用程序上使用。

现在，您必须使用自定义URL。 https://docs.microsoft.com/en-us/xamarin/xamarin-forms/data-cloud/authentication/azure-ad-b2c-mobile-app