我的web应用通过Azure sso对用户进行身份验证,然后使用生成的访问权限令牌来检索一些用户信息,并生成一个新的访问令牌,属于我的应用程序,允许用户调用web应用程序的api,然后azure令牌被扔掉。
之后,用户可以使用web应用程序的特定功能,包括调用应用程序的api访问用户的outlook日历,并为指定的日期和时间创建新事件。
为此,我用日历配置了Azure服务原则。将权限集写入应用程序权限,然后我调用azure图形api,通过web应用程序api的客户端和应用程序的秘密进行身份验证。这样,其余api不依赖于Azure登录流给出的用户访问令牌,该令牌随时可能过期,但可以自己调用。
我想知道这是正确的方法,还是我应该设置日历。写授权,然后请求用户访问令牌作为api参数,在实现中进行图形api调用。但是,如果azure令牌过期,用户必须在使用该功能之前重新输入凭据。
我不认为这两种方法都是"错误的";应用程序权限更可靠、更简单,但可能会提供过多的访问权限,或者在SaaS应用程序中不受欢迎。委托权限提供细粒度访问并允许每个用户同意,但不太可靠并且需要更多的工作来实现。我们用委托权限实现了类似的事情。我们有一个后台作业,它以一定的间隔刷新缓存的刷新令牌,并将这些缓存的令牌用于集成。