gpt4 book ai didi

azure-active-directory - 在 SPA + Web API 中通过 MSAL 检查 Azure Active Directory 组成员身份

转载 作者:行者123 更新时间:2023-12-04 01:38:34 24 4
gpt4 key购买 nike

我正在构建一个应用程序,它有一个前端(一个使用 Vue.js 构建的 SPA),它与后端(托管在 Azure 中)中的几个基于 json 的 Web API 接口(interface)。 Web API 需要通过 Azure Active Directory 进行保护,并且用户必须是安全组的成员。此外,如果用户未作为一个帐户登录(即只是自动重定向),SPA 应该简单地尝试强制用户登录已批准的帐户。

我实际上已经完成了所有这些工作。 AAD 应用程序具有 Group.Read.All,用户通过 SPA 登录并表示同意,SPA 调用 getMemberGroups。此外,Web API 可以检查 SPA 提供的访问 token ,不幸的是,Web API 还必须调用 getMemberGroups。

我认为这是我关心的问题。 Web API 必须不断调用 getMemberGroups 才能将其锁定。如果我在服务上进行了身份验证,则只有在验证了成员资格组后,我才有可能返回访问 token 。但后来我失去了 SPA 中简单的 MSAL 登录模型——Web API 实际上不提供任何前端,SPA 是静态托管的。

据我所知,我无法让 Azure Active Directory 创建一个保证其中包含某些组声明的 token 。我认为这将解决我的问题。

有人可以就围绕 SPA + Web API 环境设计身份验证模型的最佳方法提供一些建议吗?还是我采取的方法是唯一的方法?

谢谢!

最佳答案

您可以按照指示在 token 中包含群组声明 here .您只需要修改应用程序 list 中的“groupMembershipClaims”字段:

"groupMembershipClaims": "SecurityGroup"

然后 token 将包含使用所属组的 ID,如下所示:
{
"groups": ["1ce9c55a-9826-4e32-871c-a8488144bb32"]
}

您还可以利用角色和组来控制对应用程序的访问。您可以定义一些应用角色并将角色分配给组。然后该组中的用户将拥有如下声明:
{
"roles": ["admin"]
}

然后您可以根据用户的角色实现您的授权逻辑。

引用 https://joonasw.net/view/using-groups-vs-using-app-roles-in-azure-ad-appshttps://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps更多细节

关于azure-active-directory - 在 SPA + Web API 中通过 MSAL 检查 Azure Active Directory 组成员身份,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58517463/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com