自动刷新令牌并添加新的用户安全组 Azure AD
Refresh Token automatically and add new User Security Groups Azure AD
我有一个简单的 ASP.Net Web 应用程序,使用 Azure AD 和 Role/Claims Authentication/Authorization。基本上,应用程序会为用户检查 IsinRole(),然后根据返回的内容,他可以访问网络应用程序的区域。我们在 Azure AD 中使用安全组。这里的场景是一个用户属于 Group1 并且在登录到网络应用程序后他可以访问 Group1 区域,现在后端的管理员将用户添加到 Group2 以及我们想要的是用户无需注销并重新登录门户我们希望他的令牌也包含这个新添加的 Group2。
无论如何,是否可以刷新令牌以便为该用户令牌添加额外的 group2 而无需他注销并进入应用程序?
有什么方法可以用新信息强制刷新令牌?
感谢您的帮助。
谢谢。
刷新令牌以获取新的访问令牌
一种方法是使用 Refresh Token 获取新的 Access Token 如果您在您的 Web 应用程序中使用授权代码授权等授权。
您可以在此处阅读更多相关信息 - Refreshing the Access Tokens
您的应用程序需要决定何时获取新的访问令牌.. 因此它可以在知道组成员身份已被后端更新时执行此操作 component/admin。
现在您没有过多提及的一个单独主题是您的 Web 应用程序在用户已登录的情况下如何了解此类事件,但 SingalR 通知之类的内容可能会有所帮助。
注意事项:
使用刷新令牌可能会有点脆弱,因为它们可能会由于不受您的应用程序控制的原因而被撤销(例如,用户密码更改、过期时间虽然很长以及其他原因)。如果出现此类错误,获得新的授权码将是唯一的选择。
刷新令牌必须妥善保管
特别是在 groups 声明的情况下,可能存在仅访问令牌可能无济于事的超额情况。
替代方法(而不是像您提到的那样尝试使用新信息强制刷新令牌)
如果 groups 声明是您所追求的,那么请使用 Microsoft Graph API 获取有关用户所属安全组的信息,而不仅仅是查看访问令牌。
您的应用程序代码可以随时再次调用 Microsoft Graph API 以获取新的成员详细信息,即根据您的示例的组 1 和组 2(当它知道组成员已被后端更新时 component/admin). SignalR 或其他通知您的应用此类更改的方式也适用于此。
相关 Microsoft Graph API 的
-
POST https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}/getMemberGroups
这只是一个与我相关的,但还有其他类似的API,例如memberOf,您可以根据您的需要选择。
优势
您可以避开用户属于多个组的任何超龄场景,因此访问令牌不会以任何方式为您提供您需要的所有组信息。
您无需为用户强制注销并重新登录以获取包含新信息的访问令牌。
访问令牌中 groups 声明的超额场景详细信息
目前您可能已经编辑了应用程序的清单并将 "groupMembershipClaims" 属性 设置为 "All" 或 "SecurityGroup" 以便访问令牌获得 groups 声明用户所属的组 ID
为确保令牌大小不超过 HTTP header 大小限制,Azure AD 限制了它包含在组声明中的 objectId 的数量。如果用户所属的组数超过超额限制(SAML 令牌为 150 个,JWT 令牌为 200 个),则 Azure AD 不会发出令牌中的组声明。相反,它在令牌中包含超额声明,指示应用程序查询图表 API 以检索用户的组成员资格。
我有一个简单的 ASP.Net Web 应用程序,使用 Azure AD 和 Role/Claims Authentication/Authorization。基本上,应用程序会为用户检查 IsinRole(),然后根据返回的内容,他可以访问网络应用程序的区域。我们在 Azure AD 中使用安全组。这里的场景是一个用户属于 Group1 并且在登录到网络应用程序后他可以访问 Group1 区域,现在后端的管理员将用户添加到 Group2 以及我们想要的是用户无需注销并重新登录门户我们希望他的令牌也包含这个新添加的 Group2。 无论如何,是否可以刷新令牌以便为该用户令牌添加额外的 group2 而无需他注销并进入应用程序?
有什么方法可以用新信息强制刷新令牌?
感谢您的帮助。
谢谢。
刷新令牌以获取新的访问令牌
一种方法是使用 Refresh Token 获取新的 Access Token 如果您在您的 Web 应用程序中使用授权代码授权等授权。
您可以在此处阅读更多相关信息 - Refreshing the Access Tokens
您的应用程序需要决定何时获取新的访问令牌.. 因此它可以在知道组成员身份已被后端更新时执行此操作 component/admin。
现在您没有过多提及的一个单独主题是您的 Web 应用程序在用户已登录的情况下如何了解此类事件,但 SingalR 通知之类的内容可能会有所帮助。
注意事项:
使用刷新令牌可能会有点脆弱,因为它们可能会由于不受您的应用程序控制的原因而被撤销(例如,用户密码更改、过期时间虽然很长以及其他原因)。如果出现此类错误,获得新的授权码将是唯一的选择。
刷新令牌必须妥善保管
特别是在
groups声明的情况下,可能存在仅访问令牌可能无济于事的超额情况。
替代方法(而不是像您提到的那样尝试使用新信息强制刷新令牌)
如果 groups 声明是您所追求的,那么请使用 Microsoft Graph API 获取有关用户所属安全组的信息,而不仅仅是查看访问令牌。
您的应用程序代码可以随时再次调用 Microsoft Graph API 以获取新的成员详细信息,即根据您的示例的组 1 和组 2(当它知道组成员已被后端更新时 component/admin). SignalR 或其他通知您的应用此类更改的方式也适用于此。
相关 Microsoft Graph API 的
-
POST https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}/getMemberGroups这只是一个与我相关的,但还有其他类似的API,例如memberOf,您可以根据您的需要选择。
优势
您可以避开用户属于多个组的任何超龄场景,因此访问令牌不会以任何方式为您提供您需要的所有组信息。
您无需为用户强制注销并重新登录以获取包含新信息的访问令牌。
访问令牌中 groups 声明的超额场景详细信息
目前您可能已经编辑了应用程序的清单并将 "groupMembershipClaims" 属性 设置为 "All" 或 "SecurityGroup" 以便访问令牌获得 groups 声明用户所属的组 ID
为确保令牌大小不超过 HTTP header 大小限制,Azure AD 限制了它包含在组声明中的 objectId 的数量。如果用户所属的组数超过超额限制(SAML 令牌为 150 个,JWT 令牌为 200 个),则 Azure AD 不会发出令牌中的组声明。相反,它在令牌中包含超额声明,指示应用程序查询图表 API 以检索用户的组成员资格。