Azure AD B2C - зарегистрируйтесь через Graph API и войдите позже

Question

Я разрабатываю страницу регистрации для нашего веб-приложения.
Поскольку страница регистрации довольно сложна с точки зрения оформления страницы, мы решили не использовать пользовательский поток Azure B2C, а создать собственную страницу иотправьте запрос регистрации в наш API, который будет использовать Graph API для регистрации пользователя (среди прочего).

Проблема в том, что мы хотим сделать автоматический вход сразу после регистрации (т.е. мы не хотим запрашивать страницу входа после регистрации пользователя, мы хотим перенаправить его прямо на наш сайт),

Я могу использовать поток ROPC для выдачи токена обновления для веб-приложения. Проблема в том, что веб-приложение сегодня использует библиотеку MSAL.js, которая поддерживает только неявный поток, поэтому мы не можем использовать токен обновления, если не изменим раздел auth веб-приложения, чего я хочу избежать,

Могу ли я что-нибудь сделать для поддержки автоматического входа после регистрации без использования токенов обновления?

Answer 1

В этом случае вам обязательно нужно использовать id_token_hint. Потому что с задержкой репликации вы столкнетесь, когда будете входить (через b2c) после регистрации (через api) и получать правильный набор токенов в экземпляр msal. Параметр id_token_hint должен быть сгенерирован API, который создает учетную запись, и отправить обратно в приложение. Приложение должно инициализировать msal с помощью «extraQueryParamaters: id_token_hint = tokenValueFromAPI. Это перенаправит пользователя на подсказку пользовательского маршрута политики B2C для токена id и автоматически войдет в систему пользователя.

Здесь - это как»Вы создаете id_token_hint.
Здесь Это политика B2C, которая может извлечь id_token_hint

Ключ в том, что в разделе RelyingParty вам нужно
1. Заявки наотобразить в операции чтения подсказки токена id
2. Технический профиль извлечения подсказки токена id
3. Первый шаг в вашем путешествии, чтобы вызвать извлечение подсказки токена idтехнический профиль
4. На шаге 2 в вашем путешествии можно прочитать любые дополнительные данные из каталога или просто выдать токен на основе входных данных из набора заявок id_token_hint.