如果我们在Azure广告应用程序注册上没有机密/证书,并且只有委派的权限,会出什么问题?
如果您在获取代币时需要证明应用程序的身份,则只需要一个秘密/证书。
如果你有一个桌面应用程序,移动应用程序,或其他类型的"公共客户";在用户的设备上运行,这些无法证明自己的身份,因为他们无法保守秘密。因此,对于这些,您永远不会注册秘密/证书。
如果您具有例如Web API;机密客户";,如果API需要调用其他API,则只需要一个机密/证书。否则他们就不需要了。A";传统的";后端Web应用程序通常需要一个秘密/证书来执行授权代码流,以对用户进行身份验证。
所以这实际上取决于你的应用程序的类型。
取决于您想要做什么。
资源之间的授权访问
- 如果您想从另一个云资源访问一个,请使用带有证书的服务主体:https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal
对资源的访问受到分配给服务主体的角色的限制,使您可以控制哪些资源可以访问以及访问级别。出于安全原因,始终建议将服务主体与自动化工具一起使用,而不是允许它们使用用户身份登录。
最值得注意的是,服务主体不能用于使用社会工程等的凭据盗窃。
委派的权限
如果我们谈论的是用户与相互调用的服务的交互,那就是方法。