MSAL.js 与 Azure AD B2C 集成中的授权错误分析与解决方案

问题背景

在使用 MSAL.js（Microsoft Authentication Library for JavaScript）与 Azure AD B2C 集成时，开发者可能会遇到 AADB2C90085 错误。这个错误通常表现为用户完成认证流程后被重定向回应用时出现的内部服务错误，提示用户需要重新认证。

错误现象

具体错误信息为：

ServerError: invalid_grant: undefined - [undefined]: AADB2C90085: The service has encountered an internal error. Please reauthenticate and try again.

根本原因分析

这个错误的本质在于认证请求中使用了不正确的授权端点（authority）。在 Azure AD B2C 中，每个自定义策略（Custom Policy）都有其特定的授权端点。当开发者尝试通过查询参数指定策略而不是直接使用正确的授权端点时，会导致令牌端点收到错误的授权码，从而引发上述错误。

解决方案

错误实现方式

开发者最初尝试通过 extraQueryParameters 参数来指定策略：

this.authService.loginRedirect({
  extraQueryParameters: { p: 'B2C_1A_ChangeEmail' },
  scopes: OIDC_DEFAULT_SCOPES,
});

这种方式的问题在于：

1. 没有正确指定授权端点
2. 每个自定义策略都会签发自己的 JWT 令牌
3. 请求没有发送到正确的端点

正确实现方式

正确的做法是明确指定授权端点：

this.authService.loginRedirect({
  authority: 'https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/B2C_1A_CHANGEEMAIL',
  scopes: OIDC_DEFAULT_SCOPES,
});

技术要点

1. 授权端点的重要性：在 Azure AD B2C 中，每个自定义策略都有其独特的授权端点，必须精确指定。

2. 令牌颁发机制：不同的策略会颁发不同的令牌，使用错误的端点会导致令牌验证失败。

3. MSAL.js 配置：确保 MSAL.js 配置中正确设置了所有相关的授权端点。

最佳实践建议

1. 为每个自定义策略创建单独的授权端点配置
2. 避免使用查询参数来指定策略
3. 在应用中维护一个授权端点映射表，方便管理和使用
4. 实现完善的错误处理机制，特别是对于认证相关的错误

总结

AADB2C90085 错误通常是由于授权端点配置不当引起的。通过正确指定授权端点而非依赖查询参数，开发者可以避免这一错误。理解 Azure AD B2C 中自定义策略与授权端点的关系是解决此类问题的关键。MSAL.js 提供了灵活的配置选项，开发者需要确保这些配置与 B2C 租户的设置完全匹配，才能实现无缝的认证体验。