Azure AD v2.0讨论了其优势之一,即动态同意(https://github.com/AzureAD/microsoft-authentication-library-for-js/wiki/api-scopes#request-dynamic-scopes-for-incremental-consent)。
这应该是什么样的?我认为典型的用例是提供在特定端点上适用的角色/范围。例如,在以下位置的Adam
批注:
@OAuthBearer()
我找不到有关如何执行此操作的任何信息。在我看来(请看https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-implicit-grant-flow#protocol-diagram的协议图),@Get("/hello-auth")
@OAuthBearer({"scopes": ["app.special.scope"]})
helloAuth() {
return {text: "Authorised hello"};
}
唯一要做的活动是接收一个承载令牌并对其进行验证。这是有道理的,但是然后如何评估注释上的作用域,因为它们是服务器端的,因此客户端不知道要包含在令牌中?
我在https://github.com/AzureAD/passport-azure-ad/issues/430问了这个问题,但是我的合同下周结束了,我想结束此事,所以将其交叉发布。
就像在那篇文章中一样,我曾想过使用passport-azure-ad
库,但也看不出我该如何做。
是否有解决此问题的最佳方法?