azure - OAuth2 On-Behalf-Of - 用户如何接受中间层权限？

Question

我正在查看 OAuth2，关于代表流程有一件事我不明白。流程如下所示:我们有:

• App1(前端)
• App2(网络 API)
• App3(数据资源(另一个 Web API))

假设它们是这样设置的:

• App1 - 不公开任何 API；需要获得使用“App2Permission”的权限
• App2 - 公开“App2Permission”；需要获得使用“App3Permission”的权限
• App3 - 公开“App3Permisson”；不需要任何权限

现在，当用户转到 App1 时，它会将他重定向到 AAD 的登录页面 - 用户接受 App1 所需的“App2Permissions”。之后，App1 获得 App2 的访问 token 。 App1向App2发送请求(包括我刚才提到的访问 token )。 App2收到这个请求，需要访问App3才能获取实际数据。然而，它需要“App3Permission”——它如何获得它？ App2 不是一个能够向用户显示登录屏幕的交互式应用程序。

Answer 1

根据doc ，在 OAuth 2.0 代表流程中，中间层服务没有用户交互来获取用户访问下游 API(在您的例子中为 App3)的同意。

因此，授予对下游 API 访问权限的选项会作为身份验证期间同意步骤的一部分预先提供。

要了解如何为您的应用进行设置，请参阅 Gaining consent for the middle-tier application .