去年,我开发了一系列使用Azure AD的Azure App Service身份验证/授权(EasyAuth)的多层应用程序。我有两个客户端UI应用程序和四个API。
我能够在请求未经过身份验证时设置"操作" to"使用Azure Active Directory登录"适用于所有应用。客户端UI和资源API。
客户端应用程序将使用ADAL(服务器端)获取API的访问令牌,其中包含Service Principal和"代表"流动。
问题:
我现在正在研究一组新的应用程序,并尝试以相同的方式执行相同的操作,但我无法让它工作。
我可以毫无问题地获得持有者令牌。甚至自定义AppRoles也出现在索赔中。令牌似乎是有效的,但如果我将其设置为"使用Azure Active Directory登录"它们无法通过EasyAuth。
我还注意到从对/.auth/me的调用返回的access_token是加密的。这不是几个月前发生的。
更糟糕的是,旧的应用程序仍在运行,但门户网站无法访问应用程序注册,我无法检查清单。
最近发生了什么变化?是否仍然可以使用不记名令牌命中EasyAuth端点?
答案 0 :(得分:0)
事实证明,为了使其现在正常工作,您必须将资源API上的EasyAuth配置调整为高级,并将条目添加到不包含“/.auth/login/aad/”的“允许的令牌受众”设置中回调“