Достаточно ли getAccount () для защиты React SPA с помощью Azure AD B2 C с использованием MSAL

Question

Я защищаю React SPA. Приложение используется в частной сети и будет получать доступ только к конечным точкам внутри частной сети. Мне не нужно делать дальнейшие вызовы для защиты JWT, поэтому я планирую вызывать getAccount (), когда пользователь переходит на страницу вместе с простой проверкой времени. Я не могу найти документацию MSAL для функции getAccount (), но она используется почти во всех примерах MSAL. Является ли getAccount () безопасным логическим значением для определения того, вошел ли пользователь в систему?

Answer 1

Предполагая, что getAccount читает id_token, а не какую-то копию информации где-то, тогда да, он должен быть достаточно безопасным для использования, поскольку id_token гарантированно не будет изменен (jwt spe c)

Однако SPA никогда не должны содержать защищенные данные, поскольку они по определению являются незащищенными клиентами. любой внутри организации, вероятно, сможет получить доступ к внутренним конечным точкам, учитывая знания, если конечные точки не будут защищены. правильный способ сделать это - защитить конечные точки с помощью объявления azure, предоставить apis этих конечных точек для регистрации спа-приложения и выполнить аутентификацию конечных точек с помощью токенов.