我有点困惑,我有以下实现:
ASP.net API 使用 Azure AD 进行保护,具有 Admin role
权限的用户只能调用此 API,这些角色在 Azure AD 中配置并分配给用户。 API 有一个定义的范围 AccessApi
。
Scopes Who can consent Admin consent display name User consent display name State
api://xx User AccessApi AccessApi Enable
在 WebAssembly blazor
中开发的客户端应用程序在没有角色的 Azure AD 中注册和保护,其配置为使用我的 Api 中的 AccessApi
范围。
API / Permissions name Type Description Admin consent required Status
myApi (1)
AccessApi Delegated AccessApi No
我的困惑是我是否需要为客户端应用程序分配一个管理员角色来获取将用于访问 API 的令牌或 API 范围 accessApi
没有任何角色就足够了?
知道客户端应用程序的用户是 API 的相同用户,只是角色不同。
由于相同的用户同时使用 API 和客户端应用程序,是否可以通过客户端应用程序使用 MS Graph
获取 JWT 令牌并使用该令牌调用 API?