我们正在开发一个具有前端和后端的应用程序。应使用 OAuth2 令牌通过 Rest API 访问后端。授权提供程序是 Azure AD。
在 Azure 中,我们创建了 2 个应用注册。一种用于 API,一种用于客户端应用程序。 API 注册定义了 3 个范围(读取、写入、删除)。客户端应用注册已委派这些范围的权限。
我们正在从客户端应用注册请求带有 clientID 和 clientSecret 的令牌。
当请求某个范围的令牌时,在登录并批准权限授予提示后,我只是收到拒绝访问错误。我的用户是否需要在 Azure AD 中获得任何其他权限才能授予所请求范围的权限?
作为一种解决方法,我可以将客户端应用程序添加为所有三个范围的 API 注册中的“授权客户端应用程序”。但是,无论我请求的范围如何,所有三个范围总是在“scp”下的 JWT 中返回,并且用户不再看到权限授予提示。不确定我是否想要这个。我宁愿了解如何解决拒绝访问。
答案 0 :(得分:0)
我组织的 AD 租户似乎不允许用户同意。 (企业应用程序 -> 同意和权限 -> 用户同意设置。)