我有一个使用 AAD B2C 保护的 SPA。 SPA 与同样受 AAD B2C 保护的 API 进行对话。现在,用户可以将授权 header 从 Chrome 复制/粘贴到 Postman 等工具,然后直接调用 API。
我想让用户更轻松地完成此步骤。我怀疑存在一个 token 授予流程,允许用户调用 https://login.microsoftonline.com/common/oauth2/v2.0/token 并交换不记名 token 的用户名和密码。
我找不到任何此类流程的引用。你能指出我正确的方向吗?
用户太多,无法为每个用户创建 AppID/Secret。
最佳答案
这取决于您所说的用户的含义。如果他们只是内部测试人员,您可以配置 Azure resource owner password client测试人员可以获得其客户端 ID 和密码,然后发布自己的用户名和密码来获取 token 。
此流程可以方便测试,但不建议用于生产使用。例如在 OAuth 2.1它已被删除。因此,也许应该避免将这样的客户端添加到部署管道的生产阶段。
关于azure - OIDC 允许用户用凭证交换 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75628166/