在 Azure Active Directory 上启用 CORS

我尝试在 Angular 6 应用程序中使用以下方法以编程方式从 Azure Active Directory 获取访问令牌。

    let body1 = new FormData()
    body1.append("resource", environment.config.clientId)
    body1.append("grant_type", "client_credentials")
    body1.append("client_id", environment.config.clientId)
    body1.append("client_secret", "*****")

    return this._http.post("https://login.microsoftonline.com/" + environment.config.tenant + "/oauth2/token", body1)

我能够在 Postman 中通过此 url 检索访问令牌，但在通过我的应用程序调用它时被 CORS 阻止。错误如下。

    Failed to load https://login.microsoftonline.com/*****/oauth2/token: 
Response to preflight request doesn't pass access control check: No 'Access-
Control-Allow-Origin' header is present on the requested resource. Origin 
'http://localhost:4200' is therefore not allowed access.

那么，如何在 Azure Active Directory 上为所有域启用 CORS？

很简单，你不会。

您所做的是将您的应用程序的客户端机密公开给公众。 请记住，请求将由用户的设备。 这样他们就可以观察并捕获您的秘密。 这就是令牌端点不支持 CORS 的原因，而且可能永远不会支持。

更新：如果您使用 SPA 平台配置回复 URL，则令牌端点现在支持 CORS。这允许将授权代码流与 PKCE 一起使用。 MSAL.js 2.0 支持此流程。请注意，这仍然不涉及客户端机密。

从前端 JS 应用程序获取令牌的方法是使用带有 PKCE 的隐式授权流程或授权代码流程。 或者，如果您确实需要仅应用程序令牌，那么您必须从后端应用程序执行您尝试的请求。

隐式授权流程允许您在用户登录时直接从授权端点获取令牌。 您可以使用 ADAL.JS/MSAL.JS 来协助完成此操作。 如果没有用户身份，您就无法拥有令牌，因为您的本机应用程序无法证明其身份。