2
Azure AD B2Cを使用してユーザーを認証するプロジェクトが開発中です。私は、ログインフローがどのように動作しているのか、Fiddlerで追跡しているドキュメントを準備中です。Azure AD B2C - id_tokenのユーザ名とパスワードはどうやって交換されていますか?
login.microsoftonline.comによってレンダリングされたフォームにユーザー名とパスワードを正しく送信するユーザーの場合は、返信でIDトークンを取得し、弊社のWebサイトに提示して認証を検証し、セッションを確立する。
Fiddlerでは、正しいユーザー名とパスワードを含むourtenant.onmicrosoft.comへのPOSTが表示されます。レスポンスボディは、複数のセットクッキーヘッダ(簡潔さのためにコンテンツが省略されています)を持つ "{"ステータス ":" 200 "}"です。これに続いて
x-ms-cpim-slice
x-ms-cpim-dc
x-ms-cpim-cache
x-ms-cpim-trans
、私は上記のクッキーを含み、そしてourtenant.onmicrosoft.comは隠しフィールドにid_tokenが含まれているHTMLのブロブで応答ourtenant.onmicrosoft.comにGETを参照してください。
私の質問は、簡単な言葉で、どのようにAzureのAD B2Cは、先に進むに応じGETで提供id_tokenへの最初のPOSTで正しいユーザ名/パスワードの入力を相関んですか?そう、私は何も格納し、どのように確実にそれが保護されていますを理解したい場合は
私の新人の推測では、それがX-MS-CPIMキャッシュクッキーを使用することであると。
資格のコメンターからこの応答をありがとうそんなに可能性があり、私はそれがだと確信しています頑強で、私は特に心配していませんが、それは私に考えを一時停止させます。私は本物の資格情報が入ってきており、標準に準拠したOAuth2トークンが出てきているのが分かりますが、途中のクッキー管理は意図的な謎のようです。今のところB2Cはすばらしいと思いますが、認証フローの一部が独自のものであり、いつでも変更される可能性があるという感情についてはあまり感動しません。貴重なデータがクラウドに入ったとき、私たちは基本的にこのフレームワークをグローバルゲートキーパーとして信頼しています。 – Michael12345