Azure应用程序客户端ID存储在前端安全吗？

Question

在微软网站上，他们有多个例子，说明如何使用msal对SPA中的Azure用户进行身份验证。在所有这些示例中，Application (client) ID存储在代码中的纯文本或简单的.json文件中。

我的问题是，考虑到前端存储的所有内容都被认为是公开的，那么简单地将应用程序配置(如Azure (client) ID )存储在json文件中是否是一种糟糕的做法？还是将其存储在.env文件中更好？

这些都是应用程序运行所需的细节：

AZURE_APP_CLIENT_ID=""
AZURE_APP_AUTHORITY=""
AZURE_APP_REDIRECT_URI=""
AZURE_APP_POST_LOGOUT_REDIRECT_URI=""

API_URI=""
API_AZURE_EXPOSED_SCOPE=""

Answer 1

嗯，OAuth RFC将其定义为非秘密：https://www.rfc-editor.org/rfc/rfc6749#section-2.2。

客户端标识符不是秘密；它向资源所有者公开，不能单独用于客户端身份验证。

无论如何，当用户登录时，客户机id将在URL中可见。把它储存在前端是完全可以的。

当用户登录时，所有这些内容在URL中都是可见的：

• Azure AD租户id
• App客户端id
• 应用程序请求的作用域(可以包括AAD中app的客户ID /应用ID URI)
• App重定向URI