ADAL.js是否支持带有PKCE扩展的新授权代码授予？

Question

根据https://oauth.net/2/grant-types/implicit/的新安全指南，不推荐隐式流。由于ADAL.js使用隐式流，它会受到影响吗?是否建议在新的应用程序中使用ADAl.js隐式流？

Answer 1

是的，我同意根据新的指导方针，隐含的流动并不是建议的。目前，ADAL使用OAuth 2.0隐式流，出于安全原因它不返回刷新令牌(刷新令牌的生存期比访问令牌长，因此在恶意参与者手中更危险)。

当请求令牌的资源与客户端应用程序相同时，它被设计为返回ID令牌。当返回ID令牌时，它将由库缓存。因此，当我们使用authenticationContext.acquireToken(resource，回调)时，它允许应用程序静默地获取令牌，而不会再次提示用户。ADAL使用隐藏的Iframe向Azure AD发出令牌请求。

但是要使用PKCE流，可以通过传递code_challenge和正文中的其他参数对id/outh2/authorize端点进行http调用，并获得授权代码。并使用该代码，并通过传递id/outh2/token code_verifier和正文中的其他参数，调用code_verifier端点并获取令牌。

如果您正在使用SPA，并且没有后端组件，或者打算通过JavaScript调用web，请使用OAuth 2.0隐式授权流。但是，如果您有一个后端组件，并且正在使用后端代码中的API，那么隐式流是不合适的。在这种情况下，您可以使用OAuth2.0auth代码授予流或OAuth2.0客户端凭据授予流，它提供了获取反映分配给应用程序本身的权限的令牌的能力。