根据https://oauth.net/2/grant-types/implicit/上的新安全准则,不建议使用隐式流程。由于ADAL.js使用隐式流,会受到影响吗?建议对新应用程序使用ADAl.js隐式流吗?
答案 0 :(得分:1)
是的,我同意根据新指南,不建议使用隐式流程。当前,ADAL js使用OAuth 2.0隐式流,并且出于安全原因,它不返回刷新令牌(刷新令牌的生存期比访问令牌长,因此在恶意行为者的手中更加危险)。
它被设计为在请求令牌的资源与客户端应用程序相同时返回ID令牌。返回ID令牌后,该令牌将由库缓存。 因此,当我们使用 authenticationContext.acquireToken(resource,callback)时,它允许应用程序以静默方式获取令牌,而无需再次提示用户。 ADAL js使用隐藏的Iframe向Azure AD发出令牌请求。
但是要使用PKCE流,我们可以通过传递 code_challenge 以及正文中的其他参数来对https://login.microsoftonline.com/tenant_id/outh2/authorize端点进行http post调用,并获取授权码。并使用该代码并通过传递 code_verifier 以及正文中的其他参数来调用https://login.microsoftonline.com/tenant_id/outh2/token端点,并获得令牌。
如果您使用的是SPA,并且没有后端组件,或者打算通过JavaScript调用Web API,请使用OAuth 2.0隐式授予流程。 但是,如果您有一个后端组件,并且正在使用后端代码中的API,则隐式流程不适合。在这种情况下,您可以使用OAuth2.0身份验证代码授予流或OAuth2.0客户端凭据授予流,它提供了获取令牌的功能,这些令牌反映了分配给应用程序本身的权限。