静默下载 ID 令牌
Silently download ID token
我要求用户向一个应用程序提供用户名和密码,然后该应用程序将使用这些用户凭据调用 Web 服务。
Web 服务将根据 Azure Active Directory 对用户进行身份验证,并下载 ID 令牌和 return 到调用应用程序。
注意:调用应用程序只需传递用户提供的凭据并从服务中取回身份验证信息。
您尝试做的是使用资源所有者密码凭据流程 (ROPC)。
我有一整篇文章解释了为什么我推荐 你不要使用它:https://joonasw.net/view/ropc-grant-flow-in-azure-ad.
如果用户启用了多重身份验证,它将不起作用。
如果他们的密码已过期,密码将无法使用(而且他们无法修复)。
我建议您不要使用此流程。
使用更安全的交互流程,例如授权码流程:Desktop app calling API / Web app calling API.
当您使用身份提供商时,处理用户密码通常是一个非常糟糕的主意。
我要求用户向一个应用程序提供用户名和密码,然后该应用程序将使用这些用户凭据调用 Web 服务。
Web 服务将根据 Azure Active Directory 对用户进行身份验证,并下载 ID 令牌和 return 到调用应用程序。
注意:调用应用程序只需传递用户提供的凭据并从服务中取回身份验证信息。
您尝试做的是使用资源所有者密码凭据流程 (ROPC)。 我有一整篇文章解释了为什么我推荐 你不要使用它:https://joonasw.net/view/ropc-grant-flow-in-azure-ad.
如果用户启用了多重身份验证,它将不起作用。 如果他们的密码已过期,密码将无法使用(而且他们无法修复)。
我建议您不要使用此流程。 使用更安全的交互流程,例如授权码流程:Desktop app calling API / Web app calling API.
当您使用身份提供商时,处理用户密码通常是一个非常糟糕的主意。