Azure Logic -sovellusten käyttöoikeuksien ja henkilötunnusten erottamiseksi sinun on ymmärrettävä niiden tarkoitukset ja käyttö:
1. Tarkoitus ja käyttö:
- Pääsymerkit: Niitä käytetään valtuutukseen, mikä mahdollistaa pääsyn tiettyihin resursseihin tai sovellusliittymiin. Ne sisältävät käyttöoikeuksia ja laajuuksia, jotka määrittelevät, mitkä toimet voidaan suorittaa näille resursseille. Käyttömerkit ovat tyypillisesti lyhytaikaisia ja voidaan päivittää käyttämällä päivitysmerkkejä [1] [2] [3].
- ID -tokenit: Näitä käytetään todennukseen, ja ne tarjoavat tietoja käyttäjän henkilöllisyydestä. Ne sisältävät väitteitä, kuten käyttäjänimi, sähköposti ja muut tunnistetiedot. ID -tokeneja käytetään usein asiakassovelluksissa käyttäjän identiteetin tarkistamiseksi, eikä niitä ole tarkoitettu lähetettäviksi sovellusliittymille resurssien käyttöä varten [1] [2] [5].
2. validointi ja kulutus:
- Käyttöliittymät: API: t validoivat nämä varmistamaan, että haltijalla on tarvittavat käyttöoikeudet resurssien pääsyyn. Ne lähetetään sovellusliittymien välillä tietojen saatavuuden helpottamiseksi [1] [2].
- ID -merkinnät: Asiakassovellukset validoivat nämä käyttäjän identiteetin vahvistamiseksi. Niitä ei lähetetä sovellusliittymiin resurssien pääsyä varten, mutta niitä käytetään itse asiakassovelluksessa [1] [5].
3. liikkeeseenlasku ja päivitys:
- Käyttöoikeudet: Valtuutuspalvelimen myöntämä ne voidaan päivittää päivitysmerkillä käyttöoikeuksien laajentamiseksi ilman käyttäjän vuorovaikutusta [1] [2].
- ID -merkinnät: myös valtuutuspalvelimen myöntämä tunnusmerkit eivät ole suoraan päivitettäviä, mutta ne voidaan saada uudelleen, kun pääsytunnus päivitetään [3].
Azure Logic -sovelluksissa, kun integroituna Azure AD B2C: hen tai muihin todennusjärjestelmiin, käytät tyypillisesti Access Tokensia API -puhelujen ja ID -rahakkeiden todentamiseen käyttäjäistuntojen hallintaan sovelluslogiikassa [4] [6].
Näiden rahakkeiden käsittelemiseksi logiikkasovelluksissa purkaa ja validoida ne yleensä HTTP -otsikoista tai hyötykuormista varmistamalla, että käyttöoikeusmerkkejä käytetään API -puheluihin ja ID -rahakkeita käytetään käyttäjän todennukseen sovelluslogiikassa [6].
Viittaukset:
[1] https://www.descope.com/blog/post/id-token-vs-access-hoken
[2] https://learn.microsoft.com/en-us/azure/active-directory-b2c/tokens-overview
[3] https://www.youtube.com/watch?v=0k9zj-zqrwm
[4] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[5] https://oauth.net/id-tokens-vs-access-tokens/
[6] https://docs.azure.cn/en-us/logic-apps/logic-apps-custom-api-authentication
.
.