我正在寻找一种方法让用户使用适用于 iOS 的 Microsoft Azure Active Directory 身份验证库登录(多么好的名字!),但将凭据传递给我的后端服务器,以便我的后端服务器可以向 Office365 API 发出请求定期代表用户。初始认证后,iOS 应用不再需要直接访问 Office365 或其他微软资源;服务器处理与 Microsoft 服务的所有通信。
通过在WebAPI-OnBehalfOf-DotNet示例上痛苦地挖掘 .NET 代码,似乎官方认可的过程是:
- 在同一租户下注册 2 个 Active Directory 应用程序,一个用于服务器应用程序,一个用于本机应用程序。在客户端应用程序的“对其他应用程序的权限”配置中添加服务器应用程序。
- 在 iOS 上获取用户的访问令牌,然后将其发送到服务器
- 然后,服务器可以将本机应用程序访问令牌交换为服务器应用程序访问令牌,并在需要时代表用户发出请求
我对如何做#3很感兴趣。我找不到任何有关如何将本地客户端应用程序的访问令牌交换为 Web 应用程序的访问令牌的文档。我确信.NET 的 Active Directory 身份验证库已经将答案隐藏在其中的某个地方,但我一直无法找到它。有人对这个流程有任何运气吗?