Oauth 2.0 在microserice架构中,我需要多少应用程序注册
我有一个微服务架构,其中一个单页应用程序访问三个不同的API: 我通过Microsoft Identity Platform保护这些API,因此我还需要服务主体。Oauth 2.0 在microserice架构中,我需要多少应用程序注册,oauth-2.0,azure-active-directory,microsoft-identity-platform,Oauth 2.0,Azure Active Directory,Microsoft Identity Platform,我有一个微服务架构,其中一个单页应用程序访问三个不同的API: 我通过Microsoft Identity Platform保护这些API,因此我还需要服务主体。 我的第一种方法与我在博客或MS文档中找到的所有示例相匹配。 在本例中,我为客户端应用注册了一个应用程序,为API注册了三个附加应用程序: 这有以下影响: 每个API都有自己的受众 每个应用程序有四个服务主体 我有三个不同的地方需要管理角色的用户分配。(例如:用户A可以从API A等读取资产) 这是可行的,但也存在一些问题: 其他管
我的第一种方法与我在博客或MS文档中找到的所有示例相匹配。
在本例中,我为客户端应用注册了一个应用程序,为API注册了三个附加应用程序: 这有以下影响:
此外,我的ID令牌没有告诉我角色,因此要解决这一问题,我甚至可以更进一步,为所有内容注册一个应用程序: 现在,一次注册会公开一个API并使用该API。一些可能的事情,似乎能解决我的问题。现在,我甚至可以在ID令牌和访问令牌中获得用户的所有角色 然而,这与我发现的所有其他例子都是矛盾的
关于选项3,我在上面提到了一件事,但它不允许特权升级。Mhh。。。也许最后一个选择对我来说是最好的。我不需要调用任何MS API。我的应用程序完全独立于microsoft产品。我只是喜欢身份平台,所以我很高兴我可以选择1。。。我只需要为我们公司的用户提供SSO。啊,另一件事是,如果你想限制只有API B可以调用API C,那么你也需要使用第一个选项。好的,但假设API A是唯一一个代表用户调用图形的。在这种情况下,我必须使用代表流,以代表调用用户将为API a颁发的令牌与另一个图形访问令牌交换?这就是你在回答的第一句话中的意思,对吗?实际上我指的是应用程序权限,因此客户端凭据流动,这将允许API调用Graph API本身,而令牌中没有用户信息。但第一部分也可以应用于“代表”场景。OBO更受限制,因为它需要用户在场,令牌的权限将限于用户的权限。好的,那么对于客户端凭据流,您的意思是,API本身具有客户端应用程序的客户端机密(也添加了API的作用域)但也可以在图形中添加一些权限。因此,通过这种方式,API本身可以接收一个访问令牌来访问图形(没有任何用户参与)?