外部程序利用Azure AAD进行身份验证进行登录的原理

创建:22-06-16 16:59    修改:22-06-16 23:09


拟人化的比喻:

用户需要访问一个外部程序,但外部该程序依赖Azure AAD识别该用户并告知用户的ID账号,流程是这样的:

1)用户访问外部程序的登录引导页面,程序将用户引导到一个AAD登录地址,在这个地址中,含有如果登录成功,AAD应该让用户访问外部程序的识别入口

2)用户如果登录成功,则AAD会把用户引导去访问一个地址,这个地址即为外部程序识别入口,和一个临时编号(token)做为参数;

3)AAD引导后,用户访问了该地址,于是程序的识别入口会获得这个临时编号,然后做两个动作:1)凭该编号,从AAD取回用户的ID账号。2)把取回的用户的ID账号信息通过Session / Cookie绑定到用户,然后正式转入程序的业务处理部分。

上述几个步骤中,为了安全起见,在第一步中,AAD首先会确认该识别入口是注册过的,否则会拒绝认证,防止把临时编号给了不信任的识别入口


更多文章和博客...