如何在 Azure Ad 中实现代流？

Question

网络核心应用程序。我在 azure ad 中注册了三个应用程序。

1. React SPA 应用程序
2. Web API 网关应用程序
3. 受保护的 API 应用程序

每当用户登录 SPA 应用程序时，都会使用隐式流重定向到 Azure AD 以获取访问令牌。 我已收到如下访问令牌并用于从网关层访问 apis

{
  "aud": "7851c317b-87e7-4cb3-95f0-37cb52b6f873",
  "family_name": "alex",
  "given_name": "fernandes",
  "hasgroups": "true",
  "roles": [
      "Admin"
  ]
}

在上面的令牌中，aud 是 spa 应用程序的客户端 ID 和我添加的其他一些细节，但不是所有细节。

现在我想从 Web API Gateway 应用程序调用受保护的 API 应用程序

我正在尝试在邮递员中使用示例 http 请求，如下所示。

请求 - https://login.microsoftonline.com/45fgh-f30d-4596-gt67-7045b338485a/oauth2/v2.0/token

身体

{
"grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer"
"client_id": "" //unknown client id of SPA or API GateWay or Protected API
"client_secret": "" //unknown client id of SPA or API GateWay or Protected API
"assertion": "Above token"
"scope":"" //unknown
"requested_token_use" : "on_behalf_of"
}

除了上述困惑之外，只是想知道 azure ad 中是否需要任何配置才能为受保护的 API 生成令牌。还有一件事是为访问受保护的 API 而生成的令牌，该令牌是否具有与上述 SPA 生成的令牌相同的用户详细信息和角色详细信息？

有人可以帮我配置代表流量吗？我在这里努力完成这项工作。任何帮助，将不胜感激。谢谢

Answer 1

如下图所示，Client App 表示 React SPA 应用，Web API 1 表示 Web API Gateway 应用，Web API 2 表示 Protected API 应用。详情请见this blog。

代理流程的步骤：

1. 将 Web API Gateway 应用的 API 权限添加到 SPA 应用。

GET https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize
?scope={permission for Web API Gateway application like api://1108f6-xxxxxxx-9f622/test} openid
&redirect_uri={redirect_uri of SPA application}
&nonce=123
&client_id={client-id of SPA application}
&response_type=id_token token

1. 将 Protected API 应用的 API 权限添加到 Web API Gateway 应用。

它调用了官方document中的Microsoft Graph API，所以这一步的作用域是'user.read'。

POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token
grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
&client_id={client_id of Web API Gateway application}
&client_secret={client_secret}
&assertion={access token from previous step}
&scope={permission for Protected API application}
&requested_token_use=on_behalf_of

1. 使用访问令牌调用受保护的 API 应用程序