个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在构建一个 SPA 可以调用 API 的系统。 SPA 以及 API 在 Azure AD 中使用需要将用户分配给它的应用注册来表示。
在分配期间,用户还会被分配到应用注册公开的角色。 SPA 和 API 应用注册中的可用角色为 Developer 和 User,并且我在这两个注册中为用户分配了相同的角色。
API 注册还公开 SPA 注册用于请求访问 token 的范围。
SPA 中的角色用于呈现不同的 UI 元素,具体取决于用户是被分配为开发人员还是用户。
用户批准 SPA 向 API 请求的范围后,也可以调用 API。此访问 token 的 aud 声明是 API 的应用注册的 ID,它还包含在入门步骤中分配的角色 Developer。
我认为这张图正确地代表了正在发生的事情: 
我有几个与此相关的问题,仅通过阅读文档很难弄清楚。
管理调用链中的角色(SPA -> API)
通过系统传播角色的正确方法是什么?所有应用注册是否都需要具有相同的角色,并且用户在每个注册中手动分配角色?
或者我可以传播用户首次登录 SPA 时收到的角色吗?或者这是否会破坏 JWT 的安全性?我猜想这需要在每个应用注册中处理,因为没有什么可以阻止我修改传出请求并将角色设置为 Admin。
角色和范围
我找到了this answer这部分地向我解释了这些概念。我正在构建一个内部系统,除了 OIDC User.Read 提供的(电子邮件、oid 等)之外,并不真正需要任何其他用户数据。 SPA 请求此范围来显示登录的用户名。
除了用户提供的信息之外,我的 API 永远不会需要任何其他信息。在这种情况下我还需要范围吗?
同意仅适用于范围吗?
是knownClientApplications和 preAuthorizedApplications仅在使用范围时适用?
如果这有点漫无目的,我深表歉意,我读了太多文档,以至于无法保持头脑清醒。
最佳答案
我完全忘记了这一点,但问题已经解决了,这里有一些信息,希望可以为其他人澄清一些问题。
如果您的 API 请求用户拥有的数据,请使用范围。如果您的 API 需要处理基于角色的访问,例如用户可以是普通用户、管理员或任何其他用户,您可以使用角色。
我们继续讨论角色,所以这就是我要讨论的内容。我们为 SPA 注册了一款应用程序,为 API 注册了一款应用程序。需要在每个应用程序注册上定义角色,不会传播角色。仅仅因为您是 SPA 的管理员,并不意味着您是支持 SPA 的每个 API 的管理员。
您可以在应用角色边栏选项卡下的应用注册中创建角色。角色本身不会执行任何操作,除非您向它们分配用户或组。用户和组被分配到企业应用程序中与您的应用注册相对应的角色。您可以在企业应用程序的“用户和组”边栏选项卡下进行修改。
在上述代表调用链中,有四 (4) 个应用注册:
API Z 不关心(也不应该关心)用户在任何其他系统中拥有什么角色和权限。
角色和声明仅遵循为其定义的资源,并且永远不会包含在其他资源的访问 token 中。
如果您为 SPA 客户端注册的应用定义应用角色,这些角色将仅出现在为 SPA 客户端获取的 id token 中,而不会出现在其他 token 中。
是否应该注册多个 OAuth 资源服务器(应用程序注册)还是仅注册一个并在同一应用程序注册中使用不同的角色和范围,这是有争议的。以 MS Graph 为例 - 实际上只是一个资源服务器,但有数百个(而不是数千个)作用域和应用程序角色。即使如此,用户 A 拥有 Directory.Read.All 权限这一事实并不一定意味着他们应该能够在交换中读取邮件消息。
关于azure - 使用 Azure AD 和应用角色保护 SPA 和 API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72322187/
25
4
0
似乎有很多方法可以在 Azure 中自动使用 PowerShell。由于 ARM 模板是最新的,Azure 中的其他 PowerShell 选项是否已过时?这些工具/脚本之间有什么区别: Azure
我正在开发一个将托管在 Azure 中的 Web API。我想使用 Azure 诊断将错误记录到 Azure 表存储中。在经典门户中,我可以将日志配置为转到 Azure 表存储。 Classic Po
Azure 文件存储事件可以触发 Azure WebJob 或 Azure Function 吗? 例如,在文件夹“/todo/”中创建文件时。 最佳答案 我们目前没有任何 Azure 文件绑定(bi
我需要创建一个逻辑应用程序,我的要求是,我需要从 azure data Lake Gen2 文件夹迁移 json 文件,并根据某些值需要将该 json 转换为 xml,然后将其发送到 SQL。 因此,
我使用 VS Code 创建了 1 个 node.js 和 1 个 java Azure Function 当我使用 VS Code 将这两个函数部署到 Azure 时,我最终获得了这么多 Azure
收集 Azure 诊断数据时,暂存槽是否也会将诊断数据发送到 WadPerformanceCounters 表? 如果是这样,我该如何关闭它?或者在阅读诊断信息时如何区分暂存/生产。 我不想显示有关我
您好,我是 Azure 的新手。我有 VS 2012 和 Azure SDK 2.1,当我使用模拟器运行我的 Web 应用程序时一切正常。但是当我在 azure 上部署时出现错误消息: Could n
我很难区分 Azure 订阅和 Azure 租户有何不同?我尝试使用示例来弄清楚,但每次我得出的结论是它们在某种程度上是相同的?如果租户是组织在注册 Microsoft 云服务时接收并拥有的 Azur
如果我想在 Azure Insights 中设置自定义指标集合,并以(近)实时的方式可视化其中一些指标,并查看聚合的历史数据,我应该使用 Azure Metrics Explorer 还是 Azure
我想了解具有以下配置的 Azure 数据工厂 (ADF) 的现实示例/用例: Azure 集成运行时 (AIR) 默认值 自托管集成运行时(SHIR) 其他问题: 这两种配置(AIR 和 SHIR)是
请参阅下面来自 Azure 服务总线的指标。想要识别请求数量中的背景噪音|流量较低时的响应。假设振荡请求| session 中 amqp 握手的响应是潜在的。只是不明白这是什么类型的握手?从总线接收的
此问题与 Azure 事件中心和 Azure 服务总线之间的区别无关。 问题如下: 如果您将Azure Events Hub添加到您的应用程序中,那么您会注意到它依赖于Azure Service Bu
这两个事情是完全不同的,还是它们能完成的事情大致相同/相似? 最佳答案 Azure 辅助角色是“应用程序场”中您自己的一组虚拟机。您可以以分布式方式在它们上运行任何代码。通常,您编写业务代码以在这些服
我目前正在使用 Windows Azure 虚拟机来运行 RStudio, 我的虚拟机是 Windows Server R2 2012,它是 Azure 上的一项附加服务。 我还有一个 Azure 存
我们正在寻找托管一个网站(一些 css、js、一个 html 文件,但不是 aspx、一个通用处理程序)。 我们部署为: 1) Azure 网站 2) Azure 云服务 两种解决方案都有效。但有一个
我想从 Azure 表创建 blob。 AzCopy 支持此功能,但我找不到任何说明数据移动 API 也支持它的文档。此选项可用吗? https://azure.microsoft.com/en-us
This article表示 Azure 订阅所有者有权访问订阅中的所有资源。但是,要访问 Azure 数据库,必须是数据库中的用户,或者是 Azure Admin AD 组的成员。 无论 SQL 安
我尝试使用以下代码将 XML 文件上传到 Azure FTP 服务器: https://www.c-sharpcorner.com/article/upload-and-download-files-
除了 Azure 服务总线使用主题而 Azure 事件中心基于事件 - Azure 事件中心和 Azure 服务总线之间是否有任何根本区别? 对我来说,事件和消息之间没有真正的区别,因为两者只是不同类
我有一个通过虚拟网络网关连接到 Azure 虚拟网络的 Windows VPN 客户端。目标#1 是使用其内部 IP 地址连接到我的虚拟机。这有效。 第二个目标是使用其内部计算机名称进行连接(因为 I
我是一名优秀的程序员,十分优秀!