是否可以使用 Microsoft 身份验证库从 SPA 进行身份验证但没有重定向 Uri？

Question

我正在创建一个 Javascript 单页应用程序。它要求用户在隐式流程期间登录，以便稍后使用 Microsoft Graph API。 我正在使用 MSAL.js 并尝试从 this guide 调整 sn-ps 以从 authRedirectCallBack

获取身份验证令牌

我意识到在其他流程中 redirect uri（在身份验证后使用）对于获取令牌并继续进行是必不可少的。 但是在我的流程中，我在 Javascript 回调函数中处理了令牌。

是否可以避免在向 Azure AD 注册应用程序时和/或在代码执行期间提供 redirect uri？我根本不想将用户带到这个重定向 uri。

目前我的代码如下所示：

var msalConfig = {
  auth: {
    clientId: 'my-app-id',
  },
  cache: {
    cacheLocation: "localStorage",
    storeAuthStateInCookie: true,
    forceRefresh: false
  }
};
const loginRequest = {scopes: ['openid', 'profile', 'user.read']};
const msalClient = new Msal.UserAgentApplication(msalConfig);
msalClient.handleRedirectCallback(authRedirectCallBack);
singIn();

async function singIn() {
  try {
    msalClient.loginPopup(loginRequest).then(function (response) {
      if (msalClient.getAccount()) {
        console.log('logged');
      }
    });
  } catch (err) {
    console.log(err);
  }
}

function authRedirectCallBack(err, response) {
  if (err) {
    console.log(err);
  } else {
    if (response.tokenType === "access_token") {
      console.log('token', response);
    }
  }
}

Answer 1

需要重定向 URI，因为它是我们用来确保响应不会返回给未经授权方的主要安全机制，因为隐式流程依赖于将 iframe/popups/windows 重定向回您的应用程序，响应位于url 的哈希值。

请注意，如果您使用 loginPopup/acquireTokenPopup/acquireTokenSilent，最终用户将不会真正“看到”此重定向页面，因为它只会在隐藏的 iframe（用于 acquireTokenSilent）或弹出窗口中短暂访问。一旦 MSAL.js 发现 iframe/popup 已重定向回您的应用程序，就会解析响应并关闭 popup/iframe。

我们正在开发一个新版本的库，它将切换到带有 PKCE 的 Auth Code Flow，它不会使用隐藏的 iframe，但仍会使用弹出窗口/重定向。

您能否进一步解释为什么您不希望您的用户访问重定向页面？