JWT 令牌和 AzureB2C 的安全性-解网

问：

我有一个.net Core API和Next.JS前端（使用MSAL）。我使用 Azure AdB2C 对用户进行身份验证。目前，我正在考虑在 B2C 中存储用户的角色和用户的组织 ID/租户 ID，并将其返回到令牌中。这被认为是一种不好的做法吗？

C# 安全性 jwt azure-ad-msal

评论

答：

0赞 rbrayb 8/26/2023 #1

哈哈

无需存储 tenantID。您可以从以下位置派生它：

<OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />

默认情况下，它在初学者包的 SUSI 策略中返回。

角色只是声明;在 JWT 中存储和返回它们是正常的。

上一个：Checkmarx在数据库命令中使用AddInParameter方法从 ASP.NET 中的resx文件添加参数查询时出现SQL注入错误

下一个：如何使用安全地存储租户外部 API 凭据。NET7 / EF + SQL Server / Azure