Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 ADAL.js是否支持使用PKCE扩展授予新的授权码?

Oauth 2.0 ADAL.js是否支持使用PKCE扩展授予新的授权码?

oauth-2.0

Oauth 2.0 ADAL.js是否支持使用PKCE扩展授予新的授权码?,oauth-2.0,adal.js,Oauth 2.0,Adal.js,根据上的新安全指南,不建议使用隐式流。由于ADAL.js使用隐式流,它会受到影响吗?建议在新应用程序中使用ADAL.js隐式流吗?是的,我同意根据新的指南,不建议使用隐式流。目前,ADAL js使用OAuth 2.0隐式流,出于安全原因,它不返回刷新令牌(刷新令牌的生存期比访问令牌长,因此在恶意参与者手中更危险) 它被设计为在请求令牌的资源与客户端应用程序相同时返回ID令牌。当返回ID令牌时,它将被库缓存。 因此,当我们使用authenticationContext.acquireToken(资

根据上的新安全指南,不建议使用隐式流。由于ADAL.js使用隐式流,它会受到影响吗?建议在新应用程序中使用ADAL.js隐式流吗?

是的,我同意根据新的指南,不建议使用隐式流。目前,ADAL js使用OAuth 2.0隐式流,出于安全原因,它不返回刷新令牌(刷新令牌的生存期比访问令牌长,因此在恶意参与者手中更危险)

它被设计为在请求令牌的资源与客户端应用程序相同时返回ID令牌。当返回ID令牌时,它将被库缓存。 因此,当我们使用authenticationContext.acquireToken(资源,回调)时,它允许应用程序以静默方式获取令牌,而无需再次提示用户。ADAL js使用隐藏的Iframe向Azure AD发出令牌请求

但要使用PKCE流,我们可以通过传递code\u challenge以及正文中的其他参数来对端点进行http post调用,并获取授权代码。并使用该代码,通过传递code\u verifier以及正文中的其他参数来调用端点,并获取令牌

如果您正在使用SPA,并且没有后端组件或打算通过JavaScript调用web API,请使用OAuth 2.0隐式授权流。
但是,如果您有一个后端组件,并且您正在使用来自后端代码的API,那么隐式流就不适合。在这种情况下,您可以使用OAuth2.0身份验证代码授权流或OAuth2.0客户端凭据授权流,它提供了获取令牌的能力,以反映分配给应用程序本身的权限。

是的,我同意根据新的指导原则,不建议使用隐式流。目前,ADAL js使用OAuth 2.0隐式流,出于安全原因,它不返回刷新令牌(刷新令牌的生存期比访问令牌长,因此在恶意参与者手中更危险)

它被设计为在请求令牌的资源与客户端应用程序相同时返回ID令牌。当返回ID令牌时,它将被库缓存。 因此,当我们使用authenticationContext.acquireToken(资源,回调)时,它允许应用程序以静默方式获取令牌,而无需再次提示用户。ADAL js使用隐藏的Iframe向Azure AD发出令牌请求

但要使用PKCE流,我们可以通过传递code\u challenge以及正文中的其他参数来对端点进行http post调用,并获取授权代码。并使用该代码,通过传递code\u verifier以及正文中的其他参数来调用端点,并获取令牌

如果您正在使用SPA,并且没有后端组件或打算通过JavaScript调用web API,请使用OAuth 2.0隐式授权流。 但是,如果您有一个后端组件,并且您正在使用来自后端代码的API,那么隐式流就不适合。在这种情况下,您可以使用OAuth2.0身份验证代码授权流或OAuth2.0客户端凭据授权流,它提供了获取反映分配给应用程序本身的权限的令牌的能力