【发布时间】:2018-03-09 20:10:04
【问题描述】:
我会画一个场景,需要一些建议:
我正在使用 Azure AD(v1.0 端点)、单页应用程序 (SPA) 和 Web API。 SPA 使用 OpenID Connect 建立用户身份,对用户进行身份验证并接收后端 Web API 的 id_token 和 access_token。
现在,我们不希望 SPA 根据在 SPA 应用中收到的id_token 进行访问控制决策。
相反,SPA 将 access_token 发送到后端 Web API 以访问它,现在我们希望后端 Web API 根据 @987654326 中的 roles 声明做出访问控制决策@,但后端没有从 SPA 接收到。
问题是,后端 Web API 是否可以将接收到的 access_token 发送到 Azure AD 令牌端点并为用户接收相关的 id_token,以便后端 Web API 接收到 @987654329 @ 包含用户的roles 声明,以便做出访问控制决策?
【问题讨论】:
标签: asp.net-web-api oauth-2.0 azure-active-directory single-page-application openid-connect