Microsoft Authentication Library for JS 中的 knownAuthorities 配置解析
什么是 knownAuthorities
在 Microsoft Authentication Library for JS (MSAL.js) 配置中,knownAuthorities
是一个用于指定已知身份验证机构列表的属性。这个属性主要用于定义应用程序信任的身份提供者(Identity Providers)。
适用场景
knownAuthorities
主要设计用于以下两种场景:
-
Azure AD B2C 应用:当应用程序使用 Azure AD B2C 作为身份提供者时,需要明确指定信任的 B2C 策略域。
-
非标准 Microsoft 身份提供者:当应用程序集成了非标准的 Microsoft 身份提供者服务时,需要在此列出这些自定义的授权机构。
重要注意事项
对于标准的 Azure Active Directory (Azure AD) 应用,不应该将 login.microsoftonline.com
或其他 Azure AD 别名添加到 knownAuthorities
中,原因如下:
-
自动发现机制:MSAL.js 默认已经内置了对标准 Azure AD 授权机构的发现机制,无需额外配置。
-
多租户应用限制:如果开发者希望限制应用只能被特定租户访问,不应该依赖客户端配置来实现。因为客户端验证很容易被绕过,这不是一种安全的做法。
最佳实践
对于需要限制访问权限的多租户应用,建议采用以下方法:
-
使用条件访问策略:在 Azure AD 中配置条件访问(Conditional Access)策略,这是服务端的安全控制方式。
-
令牌验证:在应用后端验证令牌中的
tid
(租户ID)声明,确保请求来自允许的租户。 -
API 权限控制:在 API 层面实施租户级别的访问控制,而非在前端实现。
配置示例
虽然不推荐对标准 Azure AD 使用 knownAuthorities
,但对于 B2C 场景,配置示例如下:
{
auth: {
clientId: "你的客户端ID",
authority: "https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/B2C_1_signupsignin",
knownAuthorities: ["yourtenant.b2clogin.com"]
}
}
总结
理解 knownAuthorities
的正确使用场景对于构建安全的身份验证流程至关重要。开发者应当避免将其用于标准 Azure AD 场景,而应该采用服务端的安全控制机制来实现租户访问限制。对于 B2C 或自定义身份提供者场景,才需要合理配置此属性。
HunyuanImage-3.0
HunyuanImage-3.0 统一多模态理解与生成,基于自回归框架,实现文本生成图像,性能媲美或超越领先闭源模型00ops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。C++045Hunyuan3D-Part
腾讯混元3D-Part00GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0288Hunyuan3D-Omni
腾讯混元3D-Omni:3D版ControlNet突破多模态控制,实现高精度3D资产生成00GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile09
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
热门内容推荐
最新内容推荐
项目优选









