我有一个简单的 ASP.Net Web-APP,使用 Azure AD 和角色/声明身份验证/授权。基本上,应用程序会检查用户的 IsinRole(),然后根据返回的内容,他可以访问网络应用程序的区域。我们在 Azure AD 中使用安全组。这里的场景是用户属于 Group1,登录网络应用程序后他可以访问 Group1 区域,现在后端管理员将用户添加到 Group2,我们想要的是用户无需注销并重新登录门户我们希望他的 token 也包含这个新添加的 Group2。 无论如何,是否可以刷新 token ,以便为该用户 token 添加额外的 group2,而无需他注销并进入应用程序?
有什么办法可以用新信息强制刷新 token 吗?
感谢您的帮助。
谢谢。
最佳答案
刷新 token 以获取新的访问 token
一种方法是使用刷新 token 来获取新的访问 token (如果您是)在您的 Web 应用程序中使用授权(例如授权代码授权)。
您可以在这里阅读更多相关信息 - Refreshing the Access Tokens
您的应用程序将需要决定何时获取新的访问 token 。因此,当它意识到后端组件/管理员已更新组成员资格时,它就可以执行此操作。
现在,您没有提及太多的一个单独主题是用户已登录的 Web 应用程序如何了解此类事件,但诸如 SingalR 通知之类的内容可能会有所帮助。
注意事项:
使用刷新 token 可能有点脆弱,因为它们可能会因应用程序无法控制的原因而被撤销(例如,用户密码更改、过期时间较长以及其他原因)。如果出现此类错误,获取新的授权码将是唯一的选择。
刷新 token 必须安全保存
特别是在
组声明的情况下,可能会出现超额情况,仅使用访问 token 可能无济于事。
替代方法(而不是像您提到的那样尝试使用新信息强制刷新 token )
如果 groups 声明正是您所追求的,那么请使用 Microsoft Graph API 获取有关用户所属安全组的信息,而不是仅查看访问 token 。
您的应用程序代码可以随时再次调用 Microsoft Graph API 以获取新的成员资格详细信息,即根据您的示例的组 1 和组 2(当它知道组成员资格已由后端组件/管理员更新时)。 SignalR 或其他通知您的应用程序此类更改的方式也与此相关。
相关 Microsoft Graph API
-
POST https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}/getMemberGroups这只是一个与我相关的 API,但还有其他类似的 API,例如 memberOf您可以根据自己的需求进行选择。
优点
您可以解决用户属于多个组的任何超额情况,因此访问 token 不会以任何方式为您提供所需的所有组信息。
您无需强制用户注销并重新登录即可获取包含新信息的访问 token 。
访问 token 中组声明的超额场景详细信息
目前,您可能已编辑应用程序的 list 并将“groupMembershipClaims”属性设置为“All”或“SecurityGroup”,以便访问 token 获取包含用户所属的所有组 ID 的 groups 声明
为了确保 token 大小不超过 HTTP header 大小限制,Azure AD 限制其包含在组声明中的 objectId 数量。如果用户属于的组数超过超额限制(SAML token 为 150 个,JWT token 为 200 个),则 Azure AD 不会在 token 中发出组声明。相反,它在 token 中包含超额声明,指示应用程序查询 Graph API 以检索用户的组成员身份。
关于azure - 自动刷新 token 并添加新的用户安全组 Azure AD,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55601474/