我试图了解我在 OpenIdConnectAuthenticationOptions 的 Scope 属性中请求的范围与我的访问令牌中返回的内容之间的相关性。
当我只请求“openid 个人资料”时,我会获得所有已获得用户或管理员同意的范围。此外,返回的访问令牌版本似乎取决于范围请求。例如,如果我包含我注册的“api://........”。我相信我的 web 应用程序和 api 都在清单中配置为版本 2。
例如:“openid profile”在我的访问令牌中返回范围“Directory.Read.All Group.Read.All User.Read profile openid email”。
某些范围会自动映射到其他范围,还是有一些逻辑?就我自己的理解而言,我试图找出一些合乎逻辑的因果关系。
【问题讨论】:
标签: azure-active-directory azure-ad-graph-api
当您仅将“openid profile”放入范围时,访问令牌“Directory.Read.All Group.Read.All User.Read profile openid email”中的默认范围默认适用于 Microsoft Graph API。这是设计使然。
因为此访问令牌用于call the UserInfo endpoint,其中用户信息实际上来自Microsoft Graph。
当您将“api://........”放入范围时,访问令牌将用于您的 API 应用程序。访问令牌中有一个aud 声明,用于标识令牌的预期接收者。你可以检查一下。
【讨论】:
scope 中输入的第一个将生效。例如“api://..... user.read”,第一个用于您的 API,第二个用于 Graph。在这种情况下,访问令牌用于您的 API。但这不是设置scope 的推荐方式。一个令牌用于一种资源。所以我们不应该放置来自不同资源的多个权限。 MS Graph 访问令牌默认为 v1,无法更改为 v2。自定义 API 访问令牌可以转换为 v2。
scope 指定为“其他资源”来使用“其他资源”调用/token 端点。例如,当前的访问令牌和刷新令牌是为您自己的 API 准备的。您可以像这样client_id=6731de76-14a6-49ae-97bc-6eba6914391e&scope=https%3A%2F%2Fgraph.microsoft.com%2Fmail.read &refresh_token=OAAABAAAAiL9Kn2Z27UubvWFPbm0gLWQJVzCTE9UkP3pSx1aXxUjq...&grant_type=refresh_token&client_secret=JqQX2PNo9bpM0uEihUPzyrh 调用/token。在这种情况下,新的访问令牌适用于 Microsoft Graph。