Microsoft Authentication Library for JS 中的 knownAuthorities 配置解析
什么是 knownAuthorities
在 Microsoft Authentication Library for JS (MSAL.js) 配置中,knownAuthorities 是一个用于指定已知身份验证机构列表的属性。这个属性主要用于定义应用程序信任的身份提供者(Identity Providers)。
适用场景
knownAuthorities 主要设计用于以下两种场景:
-
Azure AD B2C 应用:当应用程序使用 Azure AD B2C 作为身份提供者时,需要明确指定信任的 B2C 策略域。
-
非标准 Microsoft 身份提供者:当应用程序集成了非标准的 Microsoft 身份提供者服务时,需要在此列出这些自定义的授权机构。
重要注意事项
对于标准的 Azure Active Directory (Azure AD) 应用,不应该将 login.microsoftonline.com 或其他 Azure AD 别名添加到 knownAuthorities 中,原因如下:
-
自动发现机制:MSAL.js 默认已经内置了对标准 Azure AD 授权机构的发现机制,无需额外配置。
-
多租户应用限制:如果开发者希望限制应用只能被特定租户访问,不应该依赖客户端配置来实现。因为客户端验证很容易被绕过,这不是一种安全的做法。
最佳实践
对于需要限制访问权限的多租户应用,建议采用以下方法:
-
使用条件访问策略:在 Azure AD 中配置条件访问(Conditional Access)策略,这是服务端的安全控制方式。
-
令牌验证:在应用后端验证令牌中的
tid(租户ID)声明,确保请求来自允许的租户。 -
API 权限控制:在 API 层面实施租户级别的访问控制,而非在前端实现。
配置示例
虽然不推荐对标准 Azure AD 使用 knownAuthorities,但对于 B2C 场景,配置示例如下:
{
auth: {
clientId: "你的客户端ID",
authority: "https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/B2C_1_signupsignin",
knownAuthorities: ["yourtenant.b2clogin.com"]
}
}
总结
理解 knownAuthorities 的正确使用场景对于构建安全的身份验证流程至关重要。开发者应当避免将其用于标准 Azure AD 场景,而应该采用服务端的安全控制机制来实现租户访问限制。对于 B2C 或自定义身份提供者场景,才需要合理配置此属性。
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C0131
let_datasetLET数据集 基于全尺寸人形机器人 Kuavo 4 Pro 采集,涵盖多场景、多类型操作的真实世界多任务数据。面向机器人操作、移动与交互任务,支持真实环境下的可扩展机器人学习00
mindquantumMindQuantum is a general software library supporting the development of applications for quantum computation.Python059
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7-FlashGLM-4.7-Flash 是一款 30B-A3B MoE 模型。作为 30B 级别中的佼佼者,GLM-4.7-Flash 为追求性能与效率平衡的轻量化部署提供了全新选择。Jinja00
AgentCPM-ReportAgentCPM-Report是由THUNLP、中国人民大学RUCBM和ModelBest联合开发的开源大语言模型智能体。它基于MiniCPM4.1 80亿参数基座模型构建,接收用户指令作为输入,可自主生成长篇报告。Python00
项目优选
kernel
docs
pytorchkernel
ops-math
flutter_flutter
ohos_react_native
nop-entropy
leetcode
cangjie_compiler