CORS sorunu Biz saklı akışını kullanarak bir web uygulaması ile Azure AD B2C doğrulattırmanın çalışıyoruz

Question

Azure AD B2C (Zımni Akışı) bir belirteci alırken. Yeniden giriş URL'sinde (id_token & kodu) doğru öğeleri içeren doğru URL'ye yeniden giriş yapabilir ve başarılı bir şekilde yönlendirebiliriz. Ancak, bu makalenin önerdiği gibi (https://github.com/Azure/azure-content/blob/master/articles/active-directory-b2c/active-directory-b2c-reference-oidc.md#get-a-token) uygulamanın app ile etkileşime girmesi gereken bir kaynak için bir simge (web api) almak için simge son noktaya bir xhr POST isteği gerçekleştirmek gerekir. Ancak, ben denemek ve bu belirteç son nokta (https://login.microsoftonline.com/ {kiracı} /oauth2/v2.0/token?p=b2c_1_signinpolicy) tarayıcısı (oldukça haklı olarak) belirlemek için Ön kontrol (bir seçenekler Aramayı) gerçekleştirir bir XHR POST ne zaman Farklı bir alanda olduğu gibi bitiş noktasını çağırabilir. OPTION çağrısı çalışır, ancak POST çağrısı son noktaya izin vermek için tarayıcı için gerekli üstbilgileri (Access-Control-Allow-Origin) içermez.

şey eksik veya yanlış mı yapıyorum?

Herhangi bir yardım takdir!

Jon

Answer 1

Azure AD yetkilendirme bitiş noktaları (Aksi B2C veya) CORS'yi desteklemez, ne de hiç olacaktır.

Javascript uygulamaları için, tokens'i doğrudan yetkilendirme uç noktasından almak için response_type=token veya response_type=id_token ile örtülü akışı kullanırız - CORS gerekmez. Denemek için çekinmeyin, iyi çalışması gerekir.

biz JavaScript uygulamaları desteklenmeyen demek sebebi şu anda bu yöntemi kullanarak elde ACCESS_TOKEN çünkü bir saat, id_token sonra/dolacak olduğunu. Ve yeni bir token sessizce yenilemek/yenilemek için bir yolumuz yok. Bu, en iyi durumda, Javascript uygulamanızın her saat AAD'ye yönlendirilmesi gerektiği anlamına gelir.

Biz kabul edilebilir olduğunu sanmıyorum, bu yüzden bu sorunu çözecek bir özellik üzerinde çalışıyoruz. Ancak şimdilik, desteklenmeyen Javascript uygulamalarını aramaya devam edeceğiz.