microsoft-graph-api - 使用 Office.js 访问令牌作为对后端的授权
问题描述
我正在开发一个由 React 前端和 dotnet 核心后端服务组成的 Outlook 加载项。我使用 Office.js 库检索访问令牌。
Office.context.mailbox.getCallbackTokenAsync({isRest: true}, async (result:Office.AsyncResult<string>) => {
});
访问令牌被发送到后端服务并用于检索 Graph 访问和刷新令牌。
我的问题是,我是否还应该在从加载项前端到后端的请求中使用 Office.js 访问令牌作为授权标头?它会提供任何额外的安全级别,还是我可以在检索到 Graph 令牌后丢弃它?
解决方案
您取回的令牌仅适用于 Microsoft Graph,并且仅适用于该用户的邮箱。如果您使用https://jwt.ms解码令牌,您可以准确看到分配了哪些范围(非常有限)。
如果您想将用户的身份用于您自己的后端,有两种选择。
Outlook 加载项中的身份验证选项中提供了身份验证概述。
推荐阅读
- blazor - 具有异步调用更改的双向数据绑定
- excel - Excel 不创建数组公式
- python - 使用python3查找表情符号的宽度
- reactjs - 将 JSX 元素存储在 useState 对象数组中时出现问题
- r - 使用 mlogit 包为 R 中的嵌套选择模型配置数百个选择集的数据框
- airflow - 使用 TaskInstance 通过 XCOMM 从 PythonOperator 中提取返回值
- c++11 - 如何复制 alsa 音频流?
- python-3.x - Numpy广播对齐问题
- groovy - 如何从已解析的 groovy 脚本中查找类声明
- python - 无法将地址 [] 参数从 python 传递给solidity