oauth2.0 OIDC允许用户交换令牌的凭据

t0ybt7op  于 2023-03-07  发布在  其他
关注(0)|答案(1)|浏览(114)

我有一个用AAD B2C保护的SPA。SPA与API对话也用AAD B2C保护。现在,用户可以从Chrome复制/粘贴授权头到Postman这样的工具,并直接调用API。
我想让这一步对我的用户来说简单一些,我怀疑有一个令牌授予流允许用户使用他们的用户名和密码调用https://login.microsoftonline.com/common/oauth2/v2.0/token并接收一个承载令牌。
我找不到任何这样的流程的参考。你能给我指出正确的方向吗?
用户太多,我无法为每个用户创建AppID/密码。

hwamh0ep

hwamh0ep1#

这取决于你对users的理解,如果他们只是内部测试人员,你可以配置一个Azure resource owner password client,测试人员可以得到它的客户端ID和密码,然后发布他们自己的用户名和密码来获得令牌。
这个流程可以方便测试,但是不推荐用于生产。例如在OAuth 2.1中,它已经被删除了。所以可能要避免在部署管道的生产阶段添加这样的客户端。

相关问题