B2C 身份验证未返回 access_token

B2C authentication not returning access_token

我正在尝试使用 PKCE 实施授权代码流 angular 项目。我正在使用 angular-auth-oidc-client。我们已经有一个现有的基于 IdentityServer4 的内部实现,客户端可以很好地与之配合使用,但我们现在正在尝试将我们的身份验证迁移到 Azure AD B2C,而不是在内部进行。

我已经配置了 Azure AD B2C 和我的客户端应用程序。这是配置:

这是我在客户端 OIDC 服务上的配置:

oidcConfigService.withConfig({
    stsServer: 'https://login.microsoftonline.com/mycompany.onmicrosoft.com/v2.0',
    authWellknownEndpoint:
        'https://mycompany.b2clogin.com/mycompany.onmicrosoft.com/B2C_1_SignUpSignIn/v2.0/.well-known/openid-configuration',
    redirectUrl: window.location.origin,
    postLogoutRedirectUri: window.location.origin,
    clientId: 'client-id-guid-goes-here',
    scope: 'openid profile offline_access',
    responseType: 'code',
    silentRenew: true,
    autoUserinfo: false,
    silentRenewUrl: window.location.origin + '/silent-renew.html',
    logLevel: LogLevel.Debug,
    renewTimeBeforeTokenExpiresInSeconds: 60
});

问题:在令牌响应中没有访问令牌:

即使我在客户端配置中选中了 accesss_token 复选框。我在这里错过了什么?

不包括访问令牌,因为您没有请求访问某些内容。

您需要在此处传递一些附加范围:

scope: 'openid profile offline_access',

它不会自动 return AccessToken,除非您明确请求对您的 API 之一的权限。

当您开始使用 B2C 时,这是一个容易犯的错误。

要获得 access_token,您必须访问 Azure AD B2C 门户并为您的客户端应用公开 API。 这意味着:

  • 为您的 API
  • 添加自定义范围
  • 将范围添加为您应用的 API 权限
  • 调整客户端上的登录配置以使用此范围

当使用我的身份验证库尝试使用 PKCE 的身份验证代码流时(@azure/msal-browser@2.1) I figured that behind the scenes it always played nice with https://login.microsoftonline.com/common/,我不必为访问令牌付出任何额外的努力。切换到我们公司的 Azure Active Directory B2C 后,但这种行为发生了变化,它不会自动 return access_token 除非我明确请求我们的 API 之一的许可。

从好的方面来说,尽管还值得一提的是,使用 Azure AD B2C 时,使用 PKCE 的身份验证代码流工作正常,但据我所知,它尚未 battle-tested 用于生产(see this GitHub issue).

根据 Microsoft 文档:GetAccessToken

您需要在范围内添加App ID

代替范围:'openid profile offline_access',使用:范围:'openid profile offline_access APPID'

示例:范围:'openid profile offline_access 64d188a5-f9a4-4b8e-9dcd-d9c9f48ea01f'