Почему Blazor. net Server, Visual Studio 2019 настраивает AAD B2 C для использования неявного потока OAuth, но рекомендует против этого?

Question

Я установил новый проект Blazor. NET в Visual Studio 2019 (превью 5) и добавил Azure AD B2 C (AADB2 C) и развернул его в Azure Docker AppService ,

Если я не включаю неявный поток OAuth2 в AADB2 C, я получаю следующую ошибку, используя входящий поток AADB2 C V2:

error=unauthorized_client&error_description=AADB2C90057%3A+The+provided+application+is+not+configured+to+allow+the+%27OAuth%27+Implicit+flow.

Однако сайт AADB2 C не рекомендует использовать этот поток, если это не требуется для бессерверного SPA. Он рекомендует MSAL. Однако у меня есть один сервер ASP. NET -Core 3.1. Так что я могу использовать вместо неявного потока? (указатели?) или почему неявный поток все еще требуется / лучше всего?

Answer 1

Blazor - это одностраничное приложение, поэтому вы можете использовать неявный поток. Рекомендуется включить неявный поток.

По сравнению с другими авторизациями неявная авторизация сопряжена с большими рисками, главным образом потому, что она позволяет приложениям, которые выполняются активный код и предоставляется браузеру удаленными ресурсами. Если вы планируете архитектуру SPA, не устанавливайте серверные компоненты и не пытайтесь вызывать веб-API через JavaScript, но используйте неявные потоки для получения токенов.