Azure AD B2C ROPC -机密客户流程

Question

我试图在b2c中实现一个自定义ROPC流。其思想是，受信任(内部)应用程序可以不使用其主密码(用户可能有几种凭据)而获得用户令牌，但使用其他凭据。

我正在关注https://learn.microsoft.com/en-us/azure/active-directory-b2c/ropc-custom?tabs=app-reg-ga的文档，但它清楚地指出：

机密客户端流:验证应用程序客户端ID，但不验证应用程序机密。

但是，在我看来，这些流只应由特权客户端使用，因此B2C需要验证client_secret，但这不是一个选项。

有解决办法吗，也许我可以在我的自定义策略定义中使用一些参数？

我知道这可以使用非ROPC流来实现，但有些应用程序无法将用户重定向到网页(如TV应用程序)。

Answer 1

使用蔚蓝和客户凭证流，它也工作在B2C租户。如果必须与用户对齐，请为每个用户提供一个应用程序reg。

在ROPC策略中使用AAD B2C端点时，服务器端ROPC将被节流。

https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-client-creds-grant-flow