护照-azure-ad / msal.js和动态范围

时间:2019-06-21 06:57:51

标签: azure azure-active-directory msal

Azure AD v2.0讨论了其优势之一,即动态同意(https://github.com/AzureAD/microsoft-authentication-library-for-js/wiki/api-scopes#request-dynamic-scopes-for-incremental-consent)。

这应该是什么样的?我认为典型的用例是提供在特定端点上适用的角色/范围。例如,在以下位置的Adam批注:

@OAuthBearer()

我找不到有关如何执行此操作的任何信息。在我看来(请看https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-implicit-grant-flow#protocol-diagram的协议图),@Get("/hello-auth") @OAuthBearer({"scopes": ["app.special.scope"]}) helloAuth() { return {text: "Authorised hello"}; } 唯一要做的活动是接收一个承载令牌并对其进行验证。这是有道理的,但是然后如何评估注释上的作用域,因为它们是服务器端的,因此客户端不知道要包含在令牌中?

我在https://github.com/AzureAD/passport-azure-ad/issues/430问了这个问题,但是我的合同下周结束了,我想结束此事,所以将其交叉发布。

就像在那篇文章中一样,我曾想过使用passport-azure-ad库,但也看不出我该如何做。

是否有解决此问题的最佳方法?

0 个答案:

没有答案