Aby rozróżnić tokeny dostępu i identyfikatory w aplikacjach logicznych Azure, musisz zrozumieć ich cele i wykorzystanie:
1. Cel i użycie:
- Tokeny dostępu: są one używane do autoryzacji, umożliwiające dostęp do określonych zasobów lub interfejsów API. Zawierają uprawnienia i zakresy, które określają, jakie działania można wykonać na tych zasobach. Tokeny dostępu są zwykle krótkotrwałe i można je odświeżyć za pomocą tokenów odświeżania [1] [2] [3].
- Tokeny identyfikatora: są one używane do uwierzytelnienia, dostarczające informacji o tożsamości użytkownika. Zawierają one takie roszczenia, jak nazwa użytkownika, e -mail i inne dane identyfikacyjne. Tokeny identyfikacyjne są często używane w aplikacjach klienckich w celu weryfikacji tożsamości użytkownika i nie mają być wysyłane do interfejsów API w celu uzyskania dostępu do zasobów [1] [2] [5].
2. Walidacja i konsumpcja:
- Tokeny dostępu: są one zatwierdzane przez interfejsy API, aby upewnić się, że nosiciel ma niezbędne uprawnienia do dostępu do zasobów. Są one wysyłane między interfejsami API, aby ułatwić dostęp do danych [1] [2].
- Tokeny identyfikatora: są one sprawdzane przez aplikacje klienckie, aby potwierdzić tożsamość użytkownika. Nie są wysyłane do interfejsów API w celu uzyskania dostępu do zasobów, ale są używane w samej aplikacji klienta [1] [5].
3. Wydawanie i odświeżenie:
- Tokeny dostępu: Wydane przez serwer autoryzacji można je odświeżyć za pomocą tokenów odświeżania, aby rozszerzyć dostęp bez wymagania interakcji użytkownika [1] [2].
- Tokeny identyfikatora: Wydane również przez serwer autoryzacji, tokeny identyfikatora nie są bezpośrednio odświeżalne, ale można je uzyskać na nowo, gdy token dostępu zostanie odświeżony [3].
W aplikacjach Azure Logic, podczas integracji z Azure AD B2C lub innymi systemami uwierzytelniania, zwykle używałbyś tokenów dostępu do uwierzytelniania połączeń API i tokenów ID, aby zarządzać sesjami użytkowników w logice aplikacji [4] [6].
Aby obsłużyć te tokeny w aplikacjach logicznych, zazwyczaj wyodrębniasz je i weryfikujesz z nagłówków HTTP lub ładunków, upewniając się, że tokeny dostępu są używane do połączeń API i tokenów identyfikacyjnych do uwierzytelniania użytkownika w logice aplikacji [6].
Cytaty:
[1] https://www.descope.com/blog/post/id-token-vs-access-token
[2] https://learn.microsoft.com/en-us/azure/active-directory-b2c/tokens-overview
[3] https://www.youtube.com/watch?v=0K9ZJ-ZQRWM
[4] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[5] https://oauth.net/id-tokens-vs-access-tokens/
[6] https://docs.azure.cn/en-us/logic-apps/logic-apps-custom-api-authentication
[7] https://auth0.com/blog/id-token-access-token-what-is-the-difference/
[8] https://community.auth0.com/t/id-token-and-access-token-what-is-the-difference/70028