我正在开发一个由React前端和dotnet核心后端服务组成的Outlook加载项。我使用 Office.js lib 检索访问令牌。
Office.context.mailbox.getCallbackTokenAsync({isRest: true}, async (result:Office.AsyncResult<string>) => {
});
访问令牌将发送到后端服务,并用于检索图形访问令牌和刷新令牌。
我的问题是,我是否也应该在从外接程序前端到后端的请求中使用 Office.js 访问令牌作为授权标头?它是否会提供任何额外的安全级别,或者我可以在检索 Graph 令牌后丢弃它吗?
您获取的令牌只能用于 Microsoft Graph,并且只能用于该用户的邮箱。如果使用 https://jwt.ms 解码令牌,则可以准确查看分配了哪些范围(非常有限(。
如果要将用户的标识用于自己的后端,有几个选项。
- 使用 Outlook 外接程序中的 SSO 令牌对用户进行身份验证(预览版(
- 使用 Exchange 标识令牌对用户进行身份验证
Outlook 加载项中的身份验证选项中提供了身份验证概述。