【问题标题】:Silently download ID token [closed]静默下载 ID 令牌 [关闭]
【发布时间】:2020-01-11 17:54:17
【问题描述】:

我要求用户将用户名和密码提供给一个应用程序,并且该应用程序将使用这些用户凭据调用 Web 服务。

Web 服务将根据 Azure Active Directory 对用户进行身份验证并下载 ID 令牌并将其返回给调用应用程序。

注意:调用应用程序只需传递用户提供的凭据并从服务中取回身份验证信息。

【问题讨论】:

  • 奇怪的是mods关闭了这个问题,可能是他们无法正确理解问题,但我仍然从junnas那里得到了必需的答案。

标签: c# web-services oauth azure-active-directory single-sign-on


【解决方案1】:

您尝试做的是使用资源所有者密码凭据流 (ROPC)。 我有一整篇关于我为什么推荐你不要使用它的文章:https://joonasw.net/view/ropc-grant-flow-in-azure-ad

如果用户启用了多重身份验证,它将不起作用。 如果他们的密码已过期,它将无法使用(而且他们无法修复它)。

我建议您不要使用此流程。 使用更安全的交互式流程,例如授权码流程:Desktop app calling API / Web app calling API

当您使用身份提供者时,处理用户密码通常是一个非常糟糕的主意。

【讨论】:

    猜你喜欢
    • 2016-10-07
    • 2017-08-26
    • 1970-01-01
    • 2017-09-07
    • 1970-01-01
    • 2020-06-06
    • 1970-01-01
    • 2023-03-10
    相关资源
    最近更新 更多