版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
首先我们在AAD中新建一个application,然后如果配置登录的话,就配置委托权限,比如登录用户可以发邮件,那么需要在委托权限中配置graph 操作email的权限。然而这又是一个最小权限的过程,就是说如果这个用户本身在AAD中不具备发邮件的权限,那么即使在application里面配置了委托发邮件权限,登录用户依然不能通过graph发邮件。
那我们如何看用户在application里的权限呢,其实很简单,用户通过AAD的application登录会生成一个token,这个token是一个JWT token,我们直接可以在jwt.io的网站上进行解析,就能看到它的scope之类的所有信息,里面就有权限