问题描述
我们正在开发一个具有前端和后端的应用程序。应使用 OAuth2 令牌通过 Rest API 访问后端。授权提供程序是 Azure AD。
在 Azure 中,我们创建了 2 个应用注册。一种用于 API,一种用于客户端应用程序。 API 注册定义了 3 个范围(读取、写入、删除)。客户端应用注册已委派这些范围的权限。
我们正在从客户端应用注册请求带有 clientID 和 clientSecret 的令牌。
问题是我们只能请求范围为 api/.default 的令牌。例如。 api/read 导致无效范围错误。 但是,如果我们使用 api/.default,则令牌中不包含范围 (scp) 属性。不需要检查使用 API 的应用程序是否具有正确的权限吗?
我不确定我们是否做错了什么,或者我们是否有错误的理解/期望。
解决方法
使用客户端凭据流获取 Azure AD JWT 令牌时,范围必须为
api://<clientid of the API app registered>/.default
根据 MSDN,OAUTH Client Credential Flow
scope - 必需 - 在此请求中为范围参数传递的值应该是资源标识符(应用程序 ID URI) 你想要的资源,加上 .default 后缀。对于微软 图示例,值为https://graph.microsoft.com/.default。这 value 告诉 Microsoft 身份平台,所有直接 您为应用程序配置的应用程序权限,端点 应该为与您的资源相关联的令牌发出令牌 想用。要了解有关 /.default 范围的更多信息,请参阅同意 文档。