在微软网站上,他们有多个例子说明如何使用 msal 来验证用户到SPA内的Azure AD的身份。在所有这些 例子 的 Application (client) ID 以纯文本形式存储在代码中,或以简单的 .json 文件。
我的问题是,考虑到所有存储在前端的东西都被认为是公开的,那么简单地存储应用程序的配置是否是不好的做法,如 Azure (client) ID 在...中 json 文件?还是将其存储在 .env 文件?
这些都是应用程序运作所需要的细节。
AZURE_APP_CLIENT_ID=""
AZURE_APP_AUTHORITY=""
AZURE_APP_REDIRECT_URI=""
AZURE_APP_POST_LOGOUT_REDIRECT_URI=""
API_URI=""
API_AZURE_EXPOSED_SCOPE=""
好吧,OAuth RFC将其定义为不是一个秘密。https:/tools.ietf.orghtmlrfc6749#section-2.2
客户端标识符不是秘密;它被暴露给资源所有者,不得单独用于客户端认证。
反正用户登录时,客户端id在URL中是可见的.存储在前端完全可以。
当用户登录时,这些东西在URL中都是可见的。