Azure OAuth2 代码流,组声明不在访问令牌中,而是在 id 令牌中

【问题标题】:Azure OAuth2 Code Flow, groups claim is not in access token, but in id tokenAzure OAuth2 代码流,组声明不在访问令牌中,而是在 id 令牌中
【发布时间】:2020-09-09 19:59:33
【问题描述】:

我添加了对 access 和 id 令牌的组声明。 image: groups claims added to both token on portal

我还确认它们是在清单中定义的,并且 groupMembershipClaims = SecurityGroup:

    "groupMembershipClaims": "SecurityGroup",
    "optionalClaims": {
        "idToken": [
            {
                "name": "groups",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "accessToken": [
            {
                "name": "groups",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

当我获取令牌时。 组声明在 id 令牌中,但不在访问令牌中。这是一个添加错误吗?我花了几个小时在谷歌上搜索和尝试。到目前为止,没有什么对我有用。

访问令牌

  "oid": "ab7160f43-3595-4b82-abad-3a750ds95b039",
  "platf": "3",
  "puid": "100322000B4FFA971",
  "scp": "openid profile email",
  "sub": "Dd9iRENxMc6sFSOLpqvW-dfLQGgDDUiBvuk4M9PsVus8",
  "tid": "2ed2c5sdf-19e7-4eb3-bfb7-eb26560fb1cc",
  "unique_name": "xxxxxxxxxxx",
  "uti": "D9cxwcvwRUCqmuLTbdd4IOAA",
  "ver": "1.0",
  "wids": [
    "62e90394-69f5-4237-9190-012a177145310",
    "9b895d92-2cd3-44c7-9d02-a6ac2d5eag2c3",
    "c4e39bd9-1100-46d3-8c65-fb16d0da0071f"
  ],
  "xms_st": {
    "sub": "KH969M9F0-jgY2_dA89JzIkvDnt-OsBqltYKxnZv1qc"
  },
  "xms_tcdt": 1587429781
}.[Signature]

Id 令牌

  "iat": 1590181245t,
  "nbf": 15901821456,
  "exp": 15901855353,
  "groups": [
    "636c4e93-0a20-419a-9294-df537346bcda3",
    "837c721c-83e6-4e20-8a35-2545d53043b28",
    "95d05d16-f75a-415a-9c22-846b361777bcd",
    "e1c42670-0726-4e5d-a9bd-8be2cc8776c55",
    "d324302a-470c-4236-b818-c7706f840dc3",
    "ba6f4d61-3927-452e-b2fe-90a5486033537"
  ],
  "idp": "xxxxxx",
  "sub": "KH969M9dF0-jgY2_dA89JzIkvDnH-OsBqltYKrxnZv1qc",
  "tid": "2ed2tc5df-19e7-4e2b3-bfsb7-eb26a560fb1cc",
  "uti": "D9cxwcvwRUCqmruLTb4IOAA",
  "ver": "2.0",
  "wids": [

【问题讨论】:

    标签: azure oauth-2.0 token portal


    【解决方案1】:

    当您说您想要访问令牌中的组时,这仅适用于该应用程序的访问令牌。您显示的访问令牌可能不是针对您的应用,而是另一个 API,它没有定义它需要令牌中的组。

    如果您需要前端应用程序中的组信息,请从 id 令牌中获取。 如果您在后端需要它们,您需要为您的 API 获取一个令牌,并定义您希望该 API 的访问令牌中的组。 在获取令牌时,您可以使用资源/范围参数定义令牌用于的 API。 如果您使用 v1 端点,则将客户端 ID 或应用 ID URI 定义为资源。 如果您使用的是 v2 端点,则使用 API 应用注册的公开 API 选项卡中定义的范围。

    【讨论】:

    • 我是 AAD 的新手。您能否让我知道如何“定义您希望该 API 的访问令牌中的组”?我在“公开 API”选项卡中定义了应用程序 ID URI 和范围,但在访问令牌中仍然没有组声明。
    • 您还需要使用您定义的范围为您的应用请求访问令牌。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-12-31
    • 1970-01-01
    • 2020-05-25
    • 2019-06-21
    • 2020-01-16
    • 2021-06-08
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode