我使用来自的Oauth2授权代码与PKCE一起将单页应用程序授权到后端API。我使用Azure作为我的身份提供程序,它是客户端的.NET后端和MSAL.js库。
每个教程都要求我创建一个基本的";access_as_user"我的后端应用程序的作用域。
是否可以省略该范围或范围是OAuth2标准所要求的,并且必须至少有1个?
作用域是OAuth标准的一部分,但使用多少取决于您。有关更多详细信息,请参阅范围最佳实践文章。
Azure AD具有一些特定于供应商的扩展,这将要求您从API公开至少一个自定义作用域,以便获得可用的访问令牌。请参阅我博客文章的第6步了解它的外观。
在早期,您可能希望您的SPA表达这样的范围值。客户端混合使用内置和自定义作用域是标准的:
openid profile api://cb398b43-96e8-48e6-8e8e-b168d5816c0e/transactions_read"