概述-我正在研究一个解决方案,该解决方案具有内置角度的 UI 和 django 后端。我想使用 Azure AD 实现身份验证和授权。在 UI 中,我使用了@azure/msal-angular,它会在每次命中后端点时直接从 azure 获取访问令牌。问题 1 - 访问令牌在后台获取并且永不过期,除非用户注销。有没有办法在一段时间/不活动后注销用户?问题 2 - @azure/msal-angular 使用隐式授权流,它在 url 片段中接收用户令牌,这似乎不安全。授权代码是更好的解决方法吗?
1 回答
慕桂英3389331
TA贡献2036条经验 获得超8个赞
访问令牌在后台获取并且永不过期,除非用户注销。有没有办法在一段时间/不活动后注销用户?
您可以更改 token lifetime defaults 的 TokenLifetimePolicy。有关完整文档,请参见此处。按照答案创建和设置令牌生命周期策略。
@azure/msal-angular 使用隐式授权流,它在 url 片段中接收用户令牌,这似乎不安全。授权代码是更好的解决方法吗?
是的,授权代码流程更好。正如文档所示,“在使用专门围绕客户端和用户模拟的隐式流时,需要考虑一些重要的安全注意事项”。授权代码流使应用能够安全地获取可用于访问受 Microsoft 身份平台终结点保护的资源的 access_tokens,以及刷新令牌以为登录用户获取额外的 access_tokens 和 ID 令牌。您可以将授权代码流与 PKCE 一起使用,这是示例。
添加回答
举报
0/150
提交
取消