B2C 身份验证未返回 access_token
B2C authentication not returning access_token
我正在尝试使用 PKCE 实施授权代码流 angular 项目。我正在使用 angular-auth-oidc-client。我们已经有一个现有的基于 IdentityServer4 的内部实现,客户端可以很好地与之配合使用,但我们现在正在尝试将我们的身份验证迁移到 Azure AD B2C,而不是在内部进行。
我已经配置了 Azure AD B2C 和我的客户端应用程序。这是配置:
这是我在客户端 OIDC 服务上的配置:
oidcConfigService.withConfig({
stsServer: 'https://login.microsoftonline.com/mycompany.onmicrosoft.com/v2.0',
authWellknownEndpoint:
'https://mycompany.b2clogin.com/mycompany.onmicrosoft.com/B2C_1_SignUpSignIn/v2.0/.well-known/openid-configuration',
redirectUrl: window.location.origin,
postLogoutRedirectUri: window.location.origin,
clientId: 'client-id-guid-goes-here',
scope: 'openid profile offline_access',
responseType: 'code',
silentRenew: true,
autoUserinfo: false,
silentRenewUrl: window.location.origin + '/silent-renew.html',
logLevel: LogLevel.Debug,
renewTimeBeforeTokenExpiresInSeconds: 60
});
问题:在令牌响应中没有访问令牌:
即使我在客户端配置中选中了 accesss_token 复选框。我在这里错过了什么?
不包括访问令牌,因为您没有请求访问某些内容。
您需要在此处传递一些附加范围:
scope: 'openid profile offline_access',
它不会自动 return AccessToken,除非您明确请求对您的 API 之一的权限。
当您开始使用 B2C 时,这是一个容易犯的错误。
要获得 access_token,您必须访问 Azure AD B2C 门户并为您的客户端应用公开 API。
这意味着:
- 为您的 API
添加自定义范围
- 将范围添加为您应用的 API 权限
- 调整客户端上的登录配置以使用此范围
当使用我的身份验证库尝试使用 PKCE 的身份验证代码流时(@azure/msal-browser@2.1) I figured that behind the scenes it always played nice with https://login.microsoftonline.com/common/,我不必为访问令牌付出任何额外的努力。切换到我们公司的 Azure Active Directory B2C 后,但这种行为发生了变化,它不会自动 return access_token 除非我明确请求我们的 API 之一的许可。
从好的方面来说,尽管还值得一提的是,使用 Azure AD B2C 时,使用 PKCE 的身份验证代码流工作正常,但据我所知,它尚未 battle-tested 用于生产(see this GitHub issue).
根据 Microsoft 文档:GetAccessToken
您需要在范围内添加App ID。
代替范围:'openid profile offline_access',使用:范围:'openid profile offline_access APPID'
示例:范围:'openid profile offline_access 64d188a5-f9a4-4b8e-9dcd-d9c9f48ea01f'
我正在尝试使用 PKCE 实施授权代码流 angular 项目。我正在使用 angular-auth-oidc-client。我们已经有一个现有的基于 IdentityServer4 的内部实现,客户端可以很好地与之配合使用,但我们现在正在尝试将我们的身份验证迁移到 Azure AD B2C,而不是在内部进行。
我已经配置了 Azure AD B2C 和我的客户端应用程序。这是配置:
这是我在客户端 OIDC 服务上的配置:
oidcConfigService.withConfig({
stsServer: 'https://login.microsoftonline.com/mycompany.onmicrosoft.com/v2.0',
authWellknownEndpoint:
'https://mycompany.b2clogin.com/mycompany.onmicrosoft.com/B2C_1_SignUpSignIn/v2.0/.well-known/openid-configuration',
redirectUrl: window.location.origin,
postLogoutRedirectUri: window.location.origin,
clientId: 'client-id-guid-goes-here',
scope: 'openid profile offline_access',
responseType: 'code',
silentRenew: true,
autoUserinfo: false,
silentRenewUrl: window.location.origin + '/silent-renew.html',
logLevel: LogLevel.Debug,
renewTimeBeforeTokenExpiresInSeconds: 60
});
问题:在令牌响应中没有访问令牌:
即使我在客户端配置中选中了 accesss_token 复选框。我在这里错过了什么?
不包括访问令牌,因为您没有请求访问某些内容。
您需要在此处传递一些附加范围:
scope: 'openid profile offline_access',
它不会自动 return AccessToken,除非您明确请求对您的 API 之一的权限。
当您开始使用 B2C 时,这是一个容易犯的错误。
要获得 access_token,您必须访问 Azure AD B2C 门户并为您的客户端应用公开 API。
这意味着:
- 为您的 API 添加自定义范围
- 将范围添加为您应用的 API 权限
- 调整客户端上的登录配置以使用此范围
当使用我的身份验证库尝试使用 PKCE 的身份验证代码流时(@azure/msal-browser@2.1) I figured that behind the scenes it always played nice with https://login.microsoftonline.com/common/,我不必为访问令牌付出任何额外的努力。切换到我们公司的 Azure Active Directory B2C 后,但这种行为发生了变化,它不会自动 return access_token 除非我明确请求我们的 API 之一的许可。
从好的方面来说,尽管还值得一提的是,使用 Azure AD B2C 时,使用 PKCE 的身份验证代码流工作正常,但据我所知,它尚未 battle-tested 用于生产(see this GitHub issue).
根据 Microsoft 文档:GetAccessToken
您需要在范围内添加App ID。
代替范围:'openid profile offline_access',使用:范围:'openid profile offline_access APPID'
示例:范围:'openid profile offline_access 64d188a5-f9a4-4b8e-9dcd-d9c9f48ea01f'