使用 Microsoft Entra ID 的 OAuth 2.0 授权

Open Authorization (OAuth) 2.0 是关于授权的行业协议。 它允许用户授予对其受保护资源的有限访问权限。 OAuth 专为与超文本传输协议 (HTTP) 配合使用而设计,可将客户端的角色与资源所有者分开。 客户端会请求对资源所有者控制且由资源服务器托管的资源的访问权限。 资源服务器在获得资源所有者的批准后颁发访问令牌。 客户端使用访问令牌访问资源服务器托管的受保护资源。

OAuth 2.0 直接与 OpenID Connect (OIDC) 相关。 由于 OIDC 是建立在 OAuth 2.0 之上的身份验证和授权层,因此它不与 OAuth 1.0 后向兼容。 Microsoft Entra ID 支持所有 OAuth 2.0 流。

用于:

丰富的客户端和新式应用方案以及 RESTful Web API 访问。

体系结构示意图

系统组件

  • 用户:从 Web 应用程序(应用)请求服务。 用户通常是拥有数据且有权允许客户端访问数据或资源的资源所有者。

  • Web 浏览器:用户与之交互的 Web 浏览器是 OAuth 客户端。

  • Web 应用:Web 应用或资源服务器是资源或数据所在的位置。 它信任授权服务器,以安全地对 OAuth 客户端进行验证和授权。

  • Microsoft Entra ID:Microsoft Entra ID 是身份验证服务器,也称为标识提供者 (IdP)。 它安全地处理与用户信息、用户访问权限和信任关系相关的任何内容。 它负责颁发可授予和撤销对资源的访问权限的令牌。

使用 Microsoft Entra ID 实现 OAuth 2.0