Microsoft Entra ID#

此策略使用对直接储存在Azure服务云中的Active Directory结构的访问权限。OAuth 2.0规范是一个灵活的授权框架，描述了客户端应用程序获得访问令牌（代表特定客户端的用户访问其数据的权限）的多种方法（授权），然后可以使用该访问令牌验证对API终结点的请求。

简而言之，该流程可概括如下：

客户端应用程序向授权终结点发出授权请求，接收短暂授权代码，使用授权代码向令牌终结点发出令牌请求，并获取访问令牌。如果用户尝试连接且访问令牌已过期，客户端将再次调用令牌终结点，并将授权类型值指定为刷新类型令牌。

如果客户端应用程序需要额外的安全性才能使用OAuth 2.0授权代码流程以防止中间人攻击并确保未捕获URL重定向，则可以使用称为代码交换证明密钥(PKCE)的机制来增强授权代码流程，方式是引入由调用应用程序创建的可由授权服务器（称为代码验证器）验证的密码。此外，创建调用的应用程序还会创建称为代码质询的代码验证器的转换值，并通过HTTPS发送该值以检索授权代码。这样，恶意的攻击者只能拦截授权代码，但没有代码验证器，就无法将授权代码兑换为令牌。