- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们有这份文档解释了如何使用自定义策略设置保持登录状态 (KMSI):
https://docs.microsoft.com/en-us/azure/active-directory-b2c/custom-policy-keep-me-signed-in
好的,太好了,所以我们现在知道如何使用(令人讨厌的复杂)XML 策略文件为复选框设置一些 UI。 但这实际上是在做什么? 哪里有这方面的资料?
prompt=none
是一个能够保持 session cookie 更新和最新的 HACK。
"a feature that invalidates a refresh token and issues a new onewhenever it is used to refresh an access token"
最佳答案
KMSI/No KMSI 会影响 AAD B2C 如何在客户端上设置其 Web session cookie。
KMSI:在您想要的时间段内设置持久 session cookie。这意味着用户下次访问您的网站时无需向 AAD B2C 重新提供凭据,即使他们关闭了浏览器。您可以将其设置为的最长时间约为 65 年。
无 KMSI:设置 session cookie(非持久性)。
如果用户关闭了浏览器,他们必须在下次访问您的网站时向 AAD B2C 出示他们的凭据。如果他们没有关闭浏览器,只是关闭选项卡,那么他们可以在不重新提供您网站凭据的情况下登录的最长时间为 24 小时。
KMSI + 隐式流 (SPA) - 以上规则适用于登录和 token 更新操作。使用隐藏的 iframe 并依赖于 AAD B2C cookie。使用隐藏的 iframe,它使用 AAD B2C session cookie 来发出新的 AT。
KMSI + PKCE (SPA) - 对于刷新 token 有效的 token 续订,上述规则将被忽略。以上规则仅适用于 Refresh Token 过期或不存在的情况,这是后备。否则,它们不适用,因为刷新 token 流不依赖于 cookie。最多 24 小时刷新 token 。使用隐藏的 iframe 并处理 OIDC 刷新 token 流。但是当 AAD B2C session cookie 被处理时,您将获得一个新的 Auth Code。
KMSI + 代码/PKCE(Web 应用程序)- 对于刷新 token 有效的 token 续订,将忽略上述规则。以上规则仅适用于刷新 token 过期或不存在的情况。否则,它们不适用,因为刷新 token 不依赖于 cookie。最大刷新 token 90 天后您回退到 cookie。但是当 AAD B2C session cookie 被处理时,您将获得一个新的 Auth Code。
KMSI 不适用于社交帐户,因为 AAD B2C 始终依赖于社交帐户 session 。如果 AAD B2C 让您保持登录状态,但您的帐户在联合 IdP 处被删除,这将是一个安全漏洞。您可以调整 session 管理以忽略回拨到社交 IdP,但没有 UX 可以为社交 IdP 选择 KMSI,现在也无法以编程方式完成。
由于 KMSI 围绕 session cookie,因此仅在执行到 AAD B2C 的往返时才会对其进行评估。
那是当您的刷新 token 过期(代码/PKCE 流程)或者您想要一个新的访问 token (隐式),或者您正在重新登录时。这些场景涉及处理 AAD B2C session cookie 的往返。
您无需以任何方式配置 MSAL 即可与您的 KMSI 配置相关联。 AAD B2C 本身会在需要时处理 cookie。
由于您使用的是 SPA + PKCE,您希望最大化 session 生命周期,因为它是 RT 流程的回退(最长 24 小时),但 session 生命周期也只有最长 24 小时。因此,您被迫使用 KMSI 为您提供长达 65 年的 session 生命周期,代价是即使在浏览器关闭后该 session 仍然存在。如果 RT 也过期(最多 24 小时),则每次 (AT) 到期(最多 24 小时)时,都会有一个隐藏的 iframe 使用刷新 token 或 cookie 获取新的访问 token 。
如何触发 - MSAL 库知道访问 token 的有效性并在需要时执行所需的刷新 token 调用。 AAD B2C 验证 RT,否则回退到 session cookie。因此,无需更改代码即可适应任何这种逻辑。
在您的 SPA 中对您的 API 的每次调用都应在 API 请求本身之前使用适当的范围调用 AcquireTokenSilent()。 MSAL 确定是否存在有效的 AT,如果不存在,则仅发出网络请求。
关于azure-ad-b2c - Azure B2C 中的 KMSI 实际上做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64850508/
渐进增强和优雅降级基本是一回事吗? 最佳答案 不完全是。他们从不同的 Angular 解决类似的问题。 “优雅的降级”意味着你有漂亮的功能,并且可以在不支持它的浏览器中处理它不那么漂亮(但仍然需要它以
在过去的几周里,我一直在调优和处理 PostgreSQL,我将在我的下一个项目中使用它。 我的规范是: DigitalOcean 8 核 16GB SSD x2(一个用于数据库,另一个用于 Web)
我看过很多关于负数模的问题的答案。每一个答案都放了标准 (a/b)*b + a%b is equal to a 解释。我可以用这种方法计算任何模数,而且我知道有必要使用一个模数函数,如果它是负数,则将
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 9 年前。 Improve
The docs假设所有标签都存储在 .hgtags 中,但这里显然存在一些黑魔法。 我的标签如下所示: mbayazit:~/test$ cat .hgtags 0d80b6ba4ba3b51a44
我正在尝试强制删除待处理的更改列表。所有文件(20 个旧文件)都是新文件,但尚未提交/提交。所以在 p4Win 中,它们显示红色 + 十字。我无法从更改列表中删除这些文件。我该如何删除这些文件? 感谢
如果我要删除的文件不属于工作区,那么如何从工作区的目录中删除文件? 我的文件系统上有一个目录,其中包含从 perforce 获取的文件,但在某些进程运行后,它会在这些目录中创建一些新文件。 是否有 p
就是好奇这个。以下是同一功能的两个代码片段: void MyFunc1() { int i = 10; object obj = null; if(something) ret
我对使用约束布局还很陌生,我在调整布局大小方面遇到了问题,我希望它能够响应,这样我就不必再为不同的屏幕尺寸制作 10 个布局。在布局编辑器中,一切在不同尺寸下看起来都很完美,但实际上并非如此。 我做了
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
如果试图修改声明为 const 的对象,const 类型限定符会导致编译器发出错误消息,但这还不够保护。例如以下程序修改声明为 const 的数组的两个元素: #include int main(v
我不得不问这个,因为:我唯一知道的是,如果断言失败,应用程序就会崩溃。这就是为什么要使用 NSAssert 的原因吗?或者这样做还有什么好处?将 NSAssert 置于我在代码中所做的任何假设之上是否
我正在处理我的操作系统项目的 POSIX 子系统,并且我已经达到了我想要处理 pthreads 支持的地步。但是,我不确定我应该在多大程度上实现它们。 最常用的 pthreads 功能是什么?现在有什
这个问题不太可能对任何 future 的访客有帮助;它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于互联网的全局受众。如需帮助使这个问题更广泛适用,visit the h
我正在尝试运行测试类,但抛出错误实际上有零交互。 class Xtractor{ void extractValues(request,Map m1, Map m2,Map m3){
我有一个抽象类UIObject,如下所示: public abstract class UIObject { private final int tabOrder; public UI
这是我尝试在 emacs lisp 中进行一些计算时得到的... (+ 2082844800. 1274511600.0) => 1209872752.0 (+ 2082844800.0 127451
我想用一条垂直线将屏幕分成两部分。垂直线应该从屏幕底部一直延伸到导航栏。如果我们使用 html/css,我只会有 2 个 div,并在右侧 div 上放置一个左边框。如果有办法在 View 的单侧放置
我有一个EC2实例可以正常工作数月(仍在开发中,应用程序尚未启用),但是我只是意识到我什至不知道如何根据流量来扩大/缩小EC2实例。 亚马逊提供的大量服务是压倒性的,我对此感到非常困惑。 最初,虽然我
考虑这个代码: int i = 1; int x = ++i + ++i; 我们对编译器可能会为这段代码做些什么有一些猜测,假设它可以编译。 两者 ++i返回 2 ,导致 x=4 . 一 ++i返回
我是一名优秀的程序员,十分优秀!