使用MSAL和Angular为何需要两个单独的AAD应用程序注册?

问题描述

https://github.com/Azure-Samples/ms-identity-javascript-angular-spa-dotnetcore-webapi-roles-groups/tree/master/chapter1

我已经能够成功使用此示例代码来玩AAD应用程序注册。对于为什么我们需要两个单独的应用程序注册,一个用于前端,一个用于API,我感到困惑。我可以将其设置为使用一个应用程序吗?如果是这样,此设置是否有缺点?

谢谢

解决方法

如果愿意,您可以这样做,但是通常不建议这样做。这样做的原因有多种,但下面是一个简单的示例:在授予应用程序权限(通过应用程序权限或委派的权限)时,您应遵循“最小特权原则”,即仅对应用程序授予足够的权限,而不是更多。客户端应用程序和Web API很有可能需要不同的范围/权限来完成他们需要做的工作,但是使用相同的应用程序注册意味着您将无法分离每个所需的范围。 / p>

类似的情况是您比客户端应用更关心Web API的保护。假设您将证书用于Web API,但是只有客户端机密才可以用于客户端应用程序。同样,在这种情况下,拥有单独的应用程序注册将使您可以根据其安全需求自定义每个应用程序。

最后但并非最不重要的一点,就是说您有多个客户端应用程序(SPA,移动设备,桌面应用程序等)和单个Web API,并且都在同一应用程序注册中。对于您的业务逻辑,也许您需要能够区分请求来自哪个客户端应用程序。尽管可以通过单个应用程序注册来实现此目的,但是再次进行单独的注册就更加麻烦了。

相关问答

Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其...
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。...
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbc...