如何在使用Azure AD B2C时控制/设置单个用户的权限
我有一个SPA应用程序,它使用另一个WebApi。(ASP.NET Core)两者都在Azure中运行,我能够使用OAuth 2.0隐式流根据Azure AD B2C对用户进行身份验证 现在我在问自己如何控制单个用户的权限。(删除、阅读等)我必须处理索赔吗?我是否必须利用服务器端的graph API来检查用户是否具有特定权限?我能用示波器吗?在哪里可以设置用户范围关系 我在这方面发现了几个问题,但我不知道该如何正确处理?我目前的理解是,我向身份验证提供程序询问某些作用域,然后我将获得一个具有该作用域的令牌,该令牌可以由API进行检查。但是我如何管理哪些用户可以请求哪些范围呢如何在使用Azure AD B2C时控制/设置单个用户的权限,azure,oauth-2.0,azure-active-directory,azure-ad-b2c,Azure,Oauth 2.0,Azure Active Directory,Azure Ad B2c,我有一个SPA应用程序,它使用另一个WebApi。(ASP.NET Core)两者都在Azure中运行,我能够使用OAuth 2.0隐式流根据Azure AD B2C对用户进行身份验证 现在我在问自己如何控制单个用户的权限。(删除、阅读等)我必须处理索赔吗?我是否必须利用服务器端的graph API来检查用户是否具有特定权限?我能用示波器吗?在哪里可以设置用户范围关系 我在这方面发现了几个问题,但我不知道该如何正确处理?我目前的理解是,我向身份验证提供程序询问某些作用域,然后我将获得一个具有该作
我真的很难理解OAuth2和权限。希望有人能在这里帮助我。不幸的是,对于一个特定的用户,您无法为该用户分配权限/范围 因为Azure AD B2C不支持应用程序角色。一般来说,Azure AD B2C允许所有用户通过其帐户访问您的应用程序。即使Azure AD B2C也可以让您存储和管理用户,但它不能为不同的用户分配不同的作用域/权限。多个作用域是授予资源的权限。多个已授予的权限将以空格分隔。这不适用于用户访问分配 如果这对你来说很重要,你可以投票支持这个想法。Azure团队将对其进行审查
希望这有帮助 不幸的是,对于一个特定的用户,您无法将权限/范围分配给该用户 因为Azure AD B2C不支持应用程序角色。一般来说,Azure AD B2C允许所有用户通过其帐户访问您的应用程序。即使Azure AD B2C也可以让您存储和管理用户,但它不能为不同的用户分配不同的作用域/权限。多个作用域是授予资源的权限。多个已授予的权限将以空格分隔。这不适用于用户访问分配 如果这对你来说很重要,你可以投票支持这个想法。Azure团队将对其进行审查
希望这有帮助 您可以通过创建类型
String
来实现这一点,该类型存储用户角色的逗号或空格分隔列表
然后,您可以在ID中发布此自定义属性并访问令牌,或使用Azure AD Graph API读取它。您可以通过创建类型
字符串
来实现此功能,该字符串存储用户角色的逗号或空格分隔列表
然后,您可以在ID中发布此自定义属性并访问令牌,或者使用Azure AD Graph API读取它。Hi,@VSDekar。您可以使用作用域在令牌中定义自定义权限。例如,当您的Web API使用MSAL验证JWT令牌时,它还将验证令牌中的作用域。我在哪里设置用户可以请求的作用域?很抱歉我的误解。对于一个特定的用户来说,现在还不可能。因为Azure AD B2C不支持应用程序角色。您好,@VSDekar。您可以使用作用域在令牌中定义自定义权限。例如,当您的Web API使用MSAL验证JWT令牌时,它还将验证令牌中的作用域。我在哪里设置用户可以请求的作用域?很抱歉我的误解。对于一个特定的用户来说,现在还不可能。因为Azure AD B2C不支持应用程序角色。如何管理对自定义属性的访问?如果用户有权自己编辑这些属性,则无法使用它来存储权限…Hi@keft Azure AD B2C颁发的ID和访问令牌不允许访问这些用户属性。如何管理对自定义属性的访问?如果用户有权自己编辑这些属性,则无法使用它来存储权限…Hi@keft Azure AD B2C颁发的ID和访问令牌不允许访问这些用户属性。