.net-core - MSAL - 应用程序可以请求权限,即使它未在“API 权限”中配置
问题描述
我使用请求范围的 MSAL 库创建了一个小型 .NET Core 3.1 控制台应用程序api://55a047a1-a0d1-4b6b-9896-751a848e1e06/testscope2
自定义 API 公开两个范围
- api://55a047a1-a0d1-4b6b-9896-751a848e1e06/testscope1
- api://55a047a1-a0d1-4b6b-9896-751a848e1e06/testscope2
我还配置了另一个名为test-app
Azure Active Directory 的应用程序,它代表我的控制台应用程序。
我只api://55a047a1-a0d1-4b6b-9896-751a848e1e06/testscope1
为这个应用程序配置了一个 API 权限 ( )。我的理解是使用此配置,客户端应用程序将只能请求范围test1
,并且不允许test-app
请求scope2
下面是截图
这是我的代码:
//<PackageReference Include="Microsoft.Identity.Client" Version="4.13.0" />
namespace console_client
{
class Program
{
static void Main(string[] args)
{
#region Azure AD parameters
var clientId = "dddeefa5-d95c-4931-a53d-2382deee27c3";
var tenant = "-- MY TENANT ID--";
var instance = "https://login.microsoftonline.com/";
#endregion
var client = PublicClientApplicationBuilder
.Create(clientId)
.WithDefaultRedirectUri()
.WithAuthority($"{instance}{tenant}")
.Build();
List<string> scopes = new List<string>();
try
{
// I was under impression that this call will throw as exception as
// this app is requesting 'testscope2' which is not included in API Permissions
// while configuring test-app in Azure Active Directory (dddeefa5-d95c-4931-a53d-2382deee27c3 )
// But I was able to retrieve token back with testscope2 in it.
scopes.Add("api://55a047a1-a0d1-4b6b-9896-751a848e1e06/testscope2");
var authenticationResult = client.AcquireTokenInteractive(scopes).ExecuteAsync().Result;
Console.WriteLine($"Interactive Access token is : {authenticationResult.AccessToken}");
}
catch (Exception ex)
{
System.Console.WriteLine($"******* {ex.Message}");
}
}
}
}
问题
我错过了什么吗?为什么即使应用程序没有配置权限,我也会取回访问令牌?
谢谢
解决方案
TL; DR 这是一个功能。
使用 v2 端点/MSAL,您可以请求未在应用清单中定义的范围。您的应用注册中的那些是您的应用所需的静态权限。但是您的应用程序也可以在登录时请求动态权限。当然,用户/管理员仍然需要同意,未经同意,应用程序不会获得许可。
您的应用程序似乎是单租户应用程序,因此这对您来说并没有什么不同。它主要用于多租户 SaaS 应用程序,这些应用程序可以在应用程序注册/清单中要求所需的最低权限,然后根据需要为选择加入功能请求更多权限。
顺便说一句,如果您想使用在您的应用注册中定义的权限,您可以请求一个特殊的范围:(api://55a047a1-a0d1-4b6b-9896-751a848e1e06/.default
您的应用 ID URI 或客户端 ID +“/.default”)。这将使 AAD 查看您的应用注册,以决定检查同意的权限。
推荐阅读
- docker - 如何在 docker 中挂载应用程序日志文件夹?
- java - 如何使用 Java 在 Android 中打开和关闭飞行模式
- javascript - “XML 解析错误:找不到根元素”
- node.js - 节点js中的RabbitMQ消费未完成
- google-speech-to-text-api - Gcloud ml语音识别 - 不返回国家字符
- sql - 返回具有另一个表中不存在的值的行
- c++ - 如何将C++字符串中元素的地址作为数组获取
- mysql - 如何使用 MySQL INNER JOIN 显示可能的空字段
- javascript - 在 Quasar 中实现双重验证的最佳方法是什么?
- reactjs - 反应按值排序