个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我创建一个 Azure APIM 实例,将其注册为 AD 中的应用程序,然后在 APIM 下创建一个 OAUTH2.0 服务器,该服务器使用上述注册应用程序的 clientid/secret key 进行设置。我在这个 APIM 下创建了一个虚拟 API,然后使用这个 OAUTH2.0 服务器保护它。我还在我的 api 上添加了 JWT 策略,以查找 token 并针对租户 ID 进行身份验证。(未提及任何声明)。
现在可以说,我有一个客户 (ABC),为此我在 AD 中注册了另一个应用程序并创建其 Clientid/secret。客户在 token 端点的帮助下生成 token (此端点在 AD 应用程序注册选项的端点选项卡下给出)。客户使用此 token 调用 API 并且它可以工作。
问题:我没有向 AD 中的客户端应用程序授予 AD 中的 APIM 应用程序的任何权限,但它仍然有效,这本质上意味着 AD 中注册的任何应用程序的任何 Clientid/ secret 都将通过我的 JWT 策略API。因为它只是针对租户 ID 进行验证。我们如何才能阻止这种情况并确保它仅适用于授予权限的客户。
最佳答案
这是我在最近的文章中提到的主要内容之一:https://joonasw.net/view/azure-ad-authentication-aspnet-core-api-part-1 .
Azure AD 中任何类型为 Web 应用/API 的应用都可以获取该 Azure AD 租户中任何 API 的有效访问 token 。甚至在授予它任何权限之前。我猜这是一种“功能”。
引自文章:
If you only require an authenticated user, any confidential client in your Azure AD can acquire an access token for your API and call it. So it is important that you implement the user_impersonation scope check at minimum.
现在,由于您的调用者将调用您的 API 本身,因此您需要实现应用程序权限。您可以在此处查看它们的定义方式:https://joonasw.net/view/defining-permissions-and-roles-in-aad .
然后实现检查,确保 roles 声明包含您定义的应用权限的值。声明将是一个字符串数组,因此需要进行某种包含检查。然后,这将要求调用者授予此应用程序权限,然后才能成功调用电话。
如果您还想允许委托(delegate)调用(即代表用户调用),然后为 user_impersonation 范围添加可选要求。它们存储在单个字符串声明 (scp) 中,以空格分隔。因此,对于该字符串,您需要对字符串进行包含检查。
关于azure - Microsoft Azure OAUTH2.0 - 多个源客户端如何调用 Azure OAUTH2.0 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51510722/
26
4
0
语境 我正在将一个旧的 php 电子商务网站变成一个用 gatsby.js 构建的静态网站。 我将所有产品元数据放入单独的 .json 文件(每个产品一个),并且我能够使用 json 和文件转换器插件
我曾经能够使用三指向上滚动在源/标题之间切换。自从升级到 Lion 后,我只进行常规滚动。有没有办法恢复该功能? Aka,当我像以前那样向上/向下滚动时,它不会跳到对应的位置。 更新 Apple 在
我有一个包含复选框输入的克隆元素。当克隆的元素未被选中时,我需要也取消选中源元素。有没有办法在 jQuery 中做到这一点?或者我是否以错误的方式处理这个问题(即使用clone())?我应该提到我的问
我有一个类,其中有两个 JSpinner 对象,x 和 y。我有一个更改监听器,它已添加到两者中。有人可以告诉我如何实现我的更改监听器,以便监听器可以区分两个对象之间的区别。例如伪代码: if(sou
我正在编写涉及 for 循环的代码,该循环在每个索引处进行计算。 这些计算中的最小值存储在一个变量中,我在程序末尾使用 MPI_Allreduce 来确定所有进程的全局最小值。 但是,我需要一种方法来
我需要在一个 Android 项目中创建一个 map View ,我从服务器获取自定义 map 图 block PNG。有人知道实现此类功能的简单许可 API 吗? 最佳答案 我使用了 OsmDroi
因为我必须创建一个可以更改图像 (src/background-url) 的函数。我想知道如何识别标签以及它是使用 src 还是 url 来访问图像。 让我们说 早些时候我写了一个可以
当我使用源 map 浏览器 https://github.com/danvk/source-map-explorer要检查捆绑包中的内容,我得到以下输出: D:\projects\angular\mT
我正在为客户将 Windev 应用程序移植到 Objective-C。出于显而易见的原因,使用以前的源代码会更简单。 不幸的是,它是加密的,我需要 EDI 才能看到它;完整版的 Windev 太贵了(
我有一个简单的视频播放器,它使用 WPF MediaElement 播放一系列视频。这些视频一起形成一个围绕静止图像移动的连续电影。在每个视频结束时,运动会卡住在当前播放视频的最后一帧。当我按下一个按
我需要更改 openlayer 的图层源(使用 open weather api)。目前我正在使用以下代码但没有成功。 let layer = this.map.getLayers().getArra
我正在尝试在 /dev/random 的机器上运行代码不会很快填满,我正在尝试使用的 Java 程序因缺少随机数而挂起。/dev/urandom产生“不太好”的随机数,但不会阻塞,对于这种情况,我宁愿
我需要 Yocto 项目的源代码包。我已经拥有整个项目的所有资源,但它们还包括开发工具。 我想有一种方法来生成将为目标图像构建的所有包的(修补的)源。因此,例如,如果目标图像包含 busybox,我想
如何对入侵者隐藏 iFrame src 假设我正在流式传输我的网络摄像头或我的电脑屏幕,这是 iframe 代码: 并且我不希望它在大多数浏览器上显示页面源中的流 URL 和检查功能! 这意
是否可以进入 Qt 源,例如qmainwindow.cpp,在 Qt Creator 中?目前我正在看到反汇编,但最好能看到源代码。 最佳答案 当然!但您可能必须首先: 转到 $QT_HOME/qt
我正在尝试创建一个包含很少动漫剧集的简单网站。我有一个关于 javascript 的问题。如何通过单击我的链接之一来更改视频源?我明白,我必须使用事件监听器,只需更改 取决于我点击的链接,但我不太擅长
我有一个带有 BindingSouce 的 DevExpress GridControl。我想清除 BindingSource 并用新数据填充它。我这样做: var list = new List()
当单击提交输入按钮时,我尝试将其他参数(选定复选框的列表)传递到服务器处理的 DataTables 表#my_table: 这可能意味着我必须将 my_table.sAjaxSource 设置为后端脚
(好吧,别对我大喊大叫,这里已经很晚了:)) 我正在研究 delta diff 工具(命令行工具或组件,只要我可以从 Delphi 2010 调用它们就可以了) 我有这个项目,我将文件上传到服务器,我
我需要解析 Yahoo Weather RSS feed 中的某个位置,例如 http://weather.yahooapis.com/forecastrss?w=44418&u=c例如,获取最高、最
我是一名优秀的程序员,十分优秀!