С потоком учетных данных клиента генерируется токен доступа без делегированного доступа из любого приложения в пределах одного и того же клиента

Question

Я устанавливаю фоновый процесс, который будет взаимодействовать с API, защищенным Azure AD.Без предоставления делегату доступа к API, клиентское приложение может генерировать токен доступа

, используя поток учетных данных клиента. Можно ли генерировать токен доступа для веб-API без разрешения делегата.Я могу это сгенерировать, но этого не должно произойти.Любое приложение, созданное в моем клиенте, может генерировать токен для веб-API без разрешения делегата.

Я следовал ниже пример на GitHub.https://github.com/Azure-Samples/active-directory-dotnet-daemon

Невозможно сгенерировать токен доступа, если не предоставлен делегированный доступ.

Answer 1

Это нормально.Если вы используете поток учетных данных клиента, даже если ваше клиентское приложение не имеет разрешения приложения и делегированного разрешения, оно сможет сгенерировать токен доступа.Но вы не можете использовать этот токен для вызова API, потому что токен не имеет разрешений в своей заявке.Вы можете декодировать токен в https://jwt.io/, тогда вы можете увидеть разрешения, как показано ниже.

Обновление :

Если вы хотите проверить делегированные разрешения, вам нужно использовать ropc flow.Отметьте scope в ответе, это делегированные разрешения.