使用客户端凭据流，无需从同一租户内的任何应用程序委派访问即可生成访问令牌

Question

我正在设置一个后台进程，该进程将与Azure AD保护的API进行通信。在不向API提供委派访问的情况下，客户端应用程序能够生成访问令牌

使用客户端凭据流，是否可以在不给予委派权限的情况下为web api生成访问令牌。我能够生成它，但根据它应该不会发生。在我的租户中创建的任何应用程序都可以在没有委派权限的情况下为web api生成令牌。

我在github上关注了下面的示例。https://github.com/Azure-Samples/active-directory-dotnet-daemon

如果没有提供委派访问，它应该不能生成访问令牌。

Answer 1

这很正常。如果您正在使用客户端凭据流，即使您的客户端应用程序没有应用程序权限和委派权限，它也能够生成访问令牌。但是您不能使用该令牌来调用api，因为该令牌在其声明中没有权限。您可以在https://jwt.io/中解码令牌，然后您可以看到如下所示的权限。

​

​

更新

如果您想检查委托权限，则需要使用ropc flow。检查响应中的scope，它们是委派的权限。

​

​