使用 Microsoft 标识平台的应用登录流

本主题介绍使用 Microsoft 标识平台的 Web、桌面和移动应用的基本登录流。 请参阅身份验证流和应用方案，了解 Microsoft 标识平台支持的登录方案。

Web 应用登录流

当用户在浏览器中导航到 Web 应用时，会发生以下情况：

• Web 应用确定用户是否进行了身份验证。
• 如果用户未进行身份验证，则 Web 应用将委托 Microsoft Entra ID 将该用户登录。 该登录将符合组织的策略，这可能意味着要求用户输入其凭据，使用多重身份验证（有时称为双因素身份验证或 2FA），或者根本不使用密码（例如使用 Windows Hello）。
• 要求用户同意该客户端应用所需的访问。 正因如此，需要在 Microsoft Entra ID 中注册客户端应用，这样 Microsoft 标识平台就能够传送代表用户许可的访问权限的令牌。

成功对用户进行身份验证以后，请执行以下操作：

• Microsoft 标识平台会发送令牌到 Web 应用。
• 保存与 Microsoft Entra 的域相关联的 cookie，其中包含浏览器 cookie jar 中用户的标识。 下次应用使用浏览器导航到 Microsoft 标识平台授权终结点时，浏览器将显示 cookie，这样用户就无需再次登录。 这也是实现 SSO 的方式。 Cookie 由 Microsoft Entra ID 生成，只能通过 Microsoft Entra ID 理解。
• 然后，Web 应用对令牌进行验证。 如果验证成功，Web 应用将显示受保护的页面并将会话 cookie 保存在浏览器的 cookie jar 中。 当用户导航到另一个页面时，Web 应用知道用户是基于会话 cookie 进行身份验证。

下面的序列图概述了这种交互：

web 应用如何确定用户是否进行了身份验证

Web 应用开发人员可以指示是否所有或仅某些页面需要身份验证。 例如，在 ASP.NET/ASP.NET Core 中，则将 [Authorize] 属性添加到控制器操作来完成此操作。

此属性可让 ASP.NET 检查是否存在包含用户标识的会话 cookie。 如果 cookie 不存在，ASP.NET 将身份验证重定向到指定的标识提供者。 如果标识提供者是 Microsoft Entra ID，则 Web 应用将身份验证重定向到 https://login.partner.microsoftonline.cn，后者将显示登录对话框。

Web 应用如何将登录委托给 Microsoft 标识平台并获取令牌

通过浏览器进行用户身份验证。 OpenID 协议使用标准 HTTP 协议消息。

• Web 应用将 HTTP 302（重定向）发送到浏览器以使用 Microsoft 标识平台。
• 用户进行身份验证时，Microsoft 标识平台会通过浏览器使用重定向来发送令牌到 Web 应用。
• Web 应用以重定向 URI 的形式提供重定向。 此重定向 URI 已注册到 Microsoft Entra 应用程序对象。 可能有多个重定向 URI，因为应用程序可能部署在多个 URL 上。 因此，Web 应用还需要指定要使用的重定向 URI。
• Microsoft Entra ID 验证 Web 应用发送的重定向 URI 是否是该应用的某个注册重定向 URI。

桌面和移动应用登录流

上面描述的流仅适用于桌面和移动应用程序，但略有不同。

桌面和移动应用程序可以使用嵌入式 Web 控件或系统浏览器进行身份验证。 下图显示了桌面或移动应用如何使用 Microsoft 身份验证库 (MSAL) 获取访问令牌并调用 Web API。

MSAL 使用浏览器获取令牌。 与 Web 应用一样，身份验证委托给 Microsoft 标识平台。

由于 Microsoft Entra ID 在浏览器中保存的标识 cookie 与在 Web 应用中保存的标识 cookie 相同，因此如果本机或移动应用使用系统浏览器，它将立即使用相应的 Web 应用获取 SSO。

默认情况下，MSAL 使用系统浏览器。 例外情况是 .NET Framework 桌面应用程序，其中使用嵌入式控件提供更集成的用户体验。

后续步骤

有关其他涉及身份验证和授权基础知识的主题：

• 请参阅身份验证和授权，了解 Microsoft 标识平台中身份验证和授权的基本概念。
• 请参阅安全令牌，了解如何在身份验证和授权中使用访问令牌、刷新令牌和 ID 令牌。
• 请参阅应用程序模型，了解注册应用程序的过程，以便它可以与 Microsoft 标识平台集成。
• 若要了解如何在应用程序中安全地将令牌声明用于授权逻辑，请参阅通过验证声明来保护应用程序和 API。

若要了解有关应用登录流的详细信息：

• 参阅身份验证流和应用方案，详细了解 Microsoft 标识平台支持的其他用户身份验证方案。
• 请参阅 MSAL 库，以了解帮助你开发与简化的单个编程模型中 Microsoft 帐户、Microsoft Entra 帐户和 Azure AD B2C 用户一起使用的应用程序的 Microsoft 库。