Asp.net web api Azure AD exchange access_令牌,id_令牌v.1.0终结点
我将画一个场景,需要一些建议: 我正在使用Azure AD(v1.0端点)、单页应用程序(SPA)和web API。SPA使用OpenID Connect建立用户身份,对用户进行身份验证,并接收用于后端web API的Asp.net web api Azure AD exchange access_令牌,id_令牌v.1.0终结点,asp.net-web-api,oauth-2.0,azure-active-directory,single-page-application,openid-connect,Asp.net Web Api,Oauth 2.0,Azure Active Directory,Single Page Application,Openid Connect,我将画一个场景,需要一些建议: 我正在使用Azure AD(v1.0端点)、单页应用程序(SPA)和web API。SPA使用OpenID Connect建立用户身份,对用户进行身份验证,并接收用于后端web API的id\u令牌和access\u令牌 现在,我们不希望SPA根据SPA应用程序中收到的id\u令牌执行访问控制决策 相反,SPA将access\u令牌发送到后端web API以访问它,现在我们希望后端web API根据id\u令牌中找到的角色声明做出访问控制决策,但后端没有从SPA接
id\u令牌
和access\u令牌
现在,我们不希望SPA根据SPA应用程序中收到的id\u令牌
执行访问控制决策
相反,SPA将access\u令牌
发送到后端web API以访问它,现在我们希望后端web API根据id\u令牌
中找到的角色
声明做出访问控制决策,但后端没有从SPA接收到
问题是,后端web API是否可以将收到的
access\u令牌
发送到Azure AD令牌端点,并为用户接收相关的id\u令牌
,以便后端web API接收包含用户的角色
声明的id\u令牌
,为了做出访问控制决策?在您描述的方法中有几个问题:
access\u令牌
交换为针对不同观众的id\u令牌
)。您可以使用令牌交换的一些变体,但在这种情况下,它们都不能帮助您角色
声明,并填充相应的值
总结:
appRoles
角色
声明