问题描述
在与AZURE AD集成的Angular6 +应用程序中实现MSAL库时,我需要一些输入。
在阅读Microsoft文档时,我遇到了两个流程“隐式授予流程”和“身份验证代码流程”。微软团队自己建议,与“隐式授予流”相比,“身份验证流”必须以其安全性来实施。
我正在使用Angular6 +应用程序,因此必须将其与AZURE AD集成。当我在MSAL库中检查角度时,我只能找到1个版本“ npm i @ azure / msal-angular”,我假设它实现了“隐式授权流程”。我必须实现“身份验证代码流”。
任何人都可以在这方面提供帮助。
解决方法
这里有2个困惑,一个是关于流的安全性,另一个是关于MSAL是否支持身份验证代码(带有PKCE)。
- 验证码流与隐式流
您不应将其理解为“验证码是安全的,隐式流程是不安全的”。这些是相对术语;也就是说,auth核心被认为比隐式流更安全。但是,在某些用例中,隐式流被认为是很好的(例如,用户会话超时很短)。互联网上对此有一些争论。
- 在Angular中使用MSAL.js
当前的MSAL.js 2.x(msal浏览器)实现身份验证代码(带有PKCE)流程。您没有理由不将其与Angular项目一起使用。还有一个MSAL-Angular包装器库,它带有一些额外的功能和粘合代码,它是实现隐式流的(因为它基于MSAL.js 1.x,又名msal-core)。但是,您不必仅因为拥有Angular项目而使用它。相反,您可以直接使用MSAL.js 2.x创建自己的身份验证服务。
,我相信您是对的,并且MSAL库does not support授权代码流(PKCE)。
使用备用库吗?
虽然没有理由必须使用该库,但我认为oidc-client library仍将提供更好的解决方案,因为它基于标准并且更加成熟。然后,您的Angular应用程序将可以与其他授权服务器一起更轻松地工作。
资源
如果对此方法感兴趣,请参阅我的这些资源,其中第二个资源将OIDC客户端/ PKCE与Azure AD结合使用: