4

我已经使用 msal.js 保护了我的 Angular 7 应用程序。我创建了一个自定义策略,它在 id_token 和 access_token 中返回自定义声明类型。为此,我一直在关注本教程:https ://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-custom-rest-api-netfw 。当我使用acquireTokenSilent()msal.js 方法时,JWT 令牌不包含自定义声明(合同、fileUploadAllowed)。

当我在 Azure 的“自定义策略”窗格中使用“立即运行”按钮时,我确实收到了一个包含自定义声明的 access_token。

通过在 Azure 中运行策略生成的 JWT 令牌的有效负载(更改了一些值):

{
  "iss": "https://login.microsoftonline.com/guid/v2.0/",
  "exp": 1548416392,
  "nbf": 1548455092,
  "aud": "c152h904-835a-496f-8919-e74f5013374c",
  "contract": "Contract03",
  "fileUploadAllowed": false,
  "sub": "25a6ec11-16fd-477a-8917-e0728c69e1db",
  "nonce": "defaultNonce",
  "scp": "portal.read user_impersonation",
  "azp": "c154c904-835a-496f-8919-e74f5087384c",
  "ver": "1.0",
  "iat": 1542213053
}

msal.js 生成的 JWT 令牌 (access_token) 的负载:

{
  "iss": "https://login.microsoftonline.com/guid/v2.0/",
  "exp": 1548416396,
  "nbf": 1548455092,
  "aud": "c152h904-835a-496f-8919-e74f5013374c",
  "sub": "25a6ec11-16fd-477a-8917-e0728c69e1db",
  "nonce": "e6df86c9-7c19-4cb5-a4ac-1aa2a89b1951",
  "scp": "portal.read user_impersonation",
  "azp": "c154c904-835a-496f-8919-e74f5087384c",
  "ver": "1.0",
  "iat": 1542213953
}

我想在 msal.js 生成的 access_token 中接收自定义声明。有谁知道我应该怎么做才能完成这项工作?

谢谢你。

4

1 回答 1

3

我们最近遇到了同样的问题。就像您一样,我们已经实现了我们自己的自定义 B2C 策略,这些策略将从我们的 REST API 获取一些自定义声明并将它们注入到我们的 JWT 令牌中。在 Azure 中使用“立即运行”进行测试时,我们会在 ID 令牌和访问令牌中看到所有自定义声明。但是在我们使用 MSAL Angular 的 SPA 中,每次我们默默地获取访问令牌时,它们都会丢失我们所有的自定义声明。

经过一些研究,我们发现问题在于我们的自定义声明都没有保留在 AD 会话中,因此是缺少自定义声明的原因。

我们已经通过覆盖我们文件中的“ SM-AAD ”技术配置TrustFrameworkExtensions文件并指定我们希望在会话中保留哪些声明来解决它,例如,您必须将自定义声明添加到PersistedClaims集合中。

希望这可以帮助。

于 2019-08-30T04:09:54.190 回答