如何使用主刷新令牌 (PRT) 在 AzureAD 中检索访问令牌

Question

是否可以在浏览器中使用 Windows PRT 来接收访问令牌以从 Web 应用程序调用受 Azure 保护的 Web API？

Answer 1

请检查 primary refresh token in Azure AD 的这个概念

A Primary Refresh Token (PRT) is a key artifact of Azure AD authentication on Windows 10 or newer, Windows Server 2016 and later versions, iOS, and Android devices. It is a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices.

设备注册是 Azure AD 中基于设备的身份验证的先决条件。仅在注册设备上向用户发布 PRT。

根据Key considerations

1. 仅在本机应用程序身份验证期间发布和更新 PRT。A PRT is not renewed or issued during a browser session.
2. 当应用程序通过 WAM 请求令牌时，Azure AD 发出刷新 令牌和访问令牌。

（我们知道访问令牌使客户端能够安全地调用受保护的 Web API，并且被 Web API 用于根据 scenario-web-app-call-api 执行身份验证和授权）但是 PRT 不会在浏览器会话期间发出。

Azure AD WAM 插件 是一个基于 WAM 框架构建的特定于 Azure AD 的插件，它可以为依赖 Azure AD 进行身份验证的应用程序启用 SSO。