В моей компании есть внутреннее веб-приложение и несколько других служб, которые используют Azure AD для проверки подлинности. Поскольку они являются SPA и однопользовательскими, они могут использовать неявный поток предоставления, чтобы избежать использования маркеров доступа и обновления.
Я создаю внутреннее мобильное приложение, которое должно использовать Azure AD для аутентификации, а также должно быть одним владельцем (моя организация). Насколько я понимаю, это небезопасно для мобильных приложений. Единственные потоки, которые, как я вижу, применимы к мобильным устройствам, включают использование токенов доступа для получения доступа к API, защищенным Microsoft. Я понимаю, что могу предоставить свой внутренний API-интерфейс, но в Azure AD с конфигурацией с одним арендатором это, по-видимому, недопустимо. Поэтому я не могу запросить доступ к API как область действия, и вся система доступа и токена обновления не работает.
Кроме того, все клиентские библиотеки, которые я вижу, настроены на токен доступа и не отправляют необработанные токены ID или не обновляют их. Является ли что-то вроде firebase сверху в моем приложении решением? Я был во всех документах Microsoft по этому вопросу и изо всех сил.