我正在使用@ azure / msal-angular登录用户。我提供了以下“ consentScopes”:
['openid', 'email', 'profile']
登录重定向过程起作用,因为它将我重定向到“ https://login.microsoftonline.com” URL,并且“ scope”参数如下所示:
&scope=email%20openid%20profile
到目前为止,我已经登录,将其重定向回我的站点,然后打印出了MSAL服务提供的“ getUser()”方法(在敏感值的情况下混淆):
displayableId: "D...Mm"
name: "Mo....as"
identityProvider: "htt...0"
userIdentifier: "OG....5"
idToken:
aud: "ca...20"
iss: "htt....0"
iat: 1..83
nbf: 15..83
exp: 15...83
acct: 0
aio: "42dg....R/XQoA"
auth_time: 159...282
email: "DM.....com"
name: "Mo....as"
nonce: "7bc....d95d"
oid: "8e8f....fc3"
platf: "1"
preferred_username: "DMol....om"
sub: "j0KKHsU....WMEB_H3fyU"
tid: "98f7abd.....6fbd5f9"
uti: "Eu4y.....cMAAA"
ver: "2.0"
此处没有提供UPN值。经过研究,我发现默认情况下1.0版本返回了UPN。
我发现了这个有用的问题,有很多信息,但实际上并没有回答问题:
https://stackoverflow.com/a/57692622/1079602
以下是Microsoft文档(https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims)的屏幕截图
它特别指出,“配置文件”范围应返回“ upn”值。我不认为@ azure / msal-angular包有问题,因为正确生成了登录URL。
根据我对2.0和oauth的了解,UPN是一项选项声明,您必须在清单或令牌配置中的应用注册中指定->添加可选声明。如果我理解正确,那是在概要范围的顶部,我认为概要范围使oidc可以访问那些额外的信息,但不一定将其包括在权利要求中。我当然可能是错的,但是我看不到它指出配置文件将在令牌中返回upn值的地方吗?
希望这会有所帮助。
您得到的是id token
,它不包括upn
声明,请参阅doc。
upn声明将包含在访问令牌中,要获取访问令牌,您可以参考代码here,该代码使用Implicit grant flow。
// app.module.ts
@NgModule({
declarations: [
// ...
],
imports: [
// ...
MsalModule.forRoot({
auth: {
clientId: 'Enter_the_Application_Id_Here',
}
},
{
popUp: !isIE,
consentScopes: [
'user.read',
'openid',
'profile',
],
protectedResourceMap: [
['https://graph.microsoft.com/v1.0/me', ['user.read']]
]
})
],
providers: [
{
provide: HTTP_INTERCEPTORS,
useClass: MsalInterceptor,
multi: true
}
],
bootstrap: [AppComponent]
})
export class AppModule { }
[使用此流程获取访问令牌时,您会发现令牌为ver: "1.0"
,因为令牌的版本由资源而不是客户端决定,请参阅原因here:
测试:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910