我正在开发一个Outlook加载项,它由一个React前端和一个dotnet核心后端服务组成。我使用Office.js库检索访问令牌。
Office.context.mailbox.getCallbackTokenAsync({isRest: true}, async (result:Office.AsyncResult<string>) => {
});
访问令牌被发送到后端服务,并用于检索图访问和刷新令牌。
我的问题,在从外接程序前端到后端的请求中,我还应该使用Office.js访问令牌作为Authorization标头吗?它会提供任何其他级别的安全性,还是在我检索到Graph令牌后就可以丢弃它?
您返回的令牌仅可用于Microsoft Graph,并且仅用于该用户的邮箱。如果使用https://jwt.ms解码令牌,则可以准确看到分配了哪些范围(这是非常有限的)。
如果您想为自己的后端利用用户的身份,则有两个选择。