我对有关 Azure AD 和多因素身份验证 (MFA) 的令牌有疑问。
因此,我设法研究了在为启用和未启用 MFA 的用户发送令牌时会发生什么情况。
我观察到的是,在令牌的有效负载中有一个额外的声明:"amr": []标签。默认情况下,该对象中有一个“pwd”,但对于 MFA,还有一个名为“mfa”的声明。
所以现在我知道令牌会根据启用的选项进行修改。
是否有其他一些声明或机制来获取颁发令牌的设备的特定 ID。通过 Azure AD 中的“工作场所加入”或通过 Microsoft Authenticator 应用程序可能与其注册相关的设备 ID?
是否有单独的令牌发送与论坛和文档中不断讨论的应用程序通行证相关?
- - - - - - - - - - - - - 更新 - - - - - - - - - - - - ----------
好的,阅读应用程序密码,它基本上用作验证多因素身份验证的另一种形式。而且我猜它既存储在 Azure AD 上,也存储在身份验证应用程序内的手机上。
那么另一个问题,是否可以从代码中访问此密码?