在msal.js的实现中包含clientId和tenantId是否安全?我相信我已经阅读了Joonas Westlin的文章,他说嵌入ClientId是可以的(但我现在找不到那篇文章了)。
库中有它的位置,因此似乎是可以的:
this.msal = new UserAgentApplication(
{
auth: {
clientId: this.clientId,
authority: `https://login.microsoftonline.com/${this.tenantId}`,
redirectUri: Uri + "/login",
},
clientId和tenantId是安全的。tenantId和clientId不属于这类信息,但client secret或keys则是敏感信息,需要避免。
tenantId作为租户的OpenID发现文档的一部分已经公开可用。您可以使用以下格式的URL访问它:https://login.microsoftonline.com/{tenantID or tenantDomain}/v2.0/.well-known/openid-configuration
clientId是您的应用程序注册的标识符。针对您关于是否包含它的疑虑...仅有clientId并不能建立应用程序的身份,你还需要与之配套的client secret,才能使用应用程序的身份。
因此,从安全角度来看,任何公共客户端应用程序(如基于JavaScript的SPA甚至桌面本地应用程序)都不应该使用客户端密码,因为这些应用程序无法安全地保留它并可能会被攻击。机密客户端(如基于服务器的Web应用程序或后端守护进程)才能处理密码。
这里是微软针对隐式授权流程提供的指南,这通常是JavaScript/SPA应用程序使用的流程 - Microsoft Identity Platform和隐式授权流程
以下是一个类似的Stack Overflow帖子,涉及clientid和tenantId的详细解释 - Azure Client ID、Tenant和Key Vault URI是否被视为密码?
我无法快速找到您在问题中提到的Joonas Westlin的帖子,但Joonas关于clientId的建议通常是正确的。