Разница между токеном AD, полученным с использованием ADAL & ADAL JS

Question

У меня есть уникальный сценарий, в котором аутентификация выполняется с использованием Azure AD с использованием открытого программного обеспечения Open ID Connect, теперь, когда приложение аутентифицировано и установлено сеанс, мне нужно будет сделать AJAX звонки в службы WebAPI, расположенные на том же сервере.

Я планирую вернуть токен идентификатора/доступа на сервер обратно на сервер и сохранить его в хранилище сеансов.

Есть ли какие-либо последствия для безопасности при таком подходе, я имею в виду, есть ли разница между токеном, полученным через ADAL JS или ADAL?

Answer 1

Я не рекомендую это делать. Идентификаторы доступа и идентификаторы, полученные конфиденциальным клиентом, отличаются от тех, которые были получены публичным, а токены Azure AD, выпущенные через неявный поток, имеют дополнительные отличия из-за эвристики, нацеленной на их размер. Существует более чистое решение для вашего сценария. После того, как вы вошли в систему с помощью OpenID Connect, ваш браузер имеет cookie сеанса с Azure AD. Если вы вводите на свои страницы скрытый iframe, и вы используете этот iframe для вождения неявных запросов на получение токенов через javascript, вы можете иметь свой JS-интерфейс для получения своих жетонов без необходимости распространять токены, полученные в другом месте вашей топологии. Это именно то, что ADAL делает для обновления токенов и получения новых токенов после входа. К сожалению, у нас нет образцов для этого подхода, но вы можете изучить источник ADAL JS, чтобы посмотреть, как это работает.