我们遵循了这里https://github.com/azure-ad-b2c/samples/tree/master/policies/sign-in-with-magic-link中的魔术链接示例。我们可以生成魔术链接,使用"id_token“重定向到我们的应用程序,但我们得到错误"message.state is null or empty”。也许这个库会将一个“状态”附加到我们的魔术链接</e
我正在寻找一种方法来登录用户使用邮件发送的链接。Sign-in with a magic link sample policy非常接近我想要实现的目标。如果B2C不生成或验证令牌,那么它还有什么意义呢?似乎我在我们的应用程序上添加了一个额外的攻击面。我们使用B2C的原因之一是,这样我们就不必处理身份验证的危险。还是我看错了?它使用B2C作为信任源,但不打算创建用户令牌。它用于向父应用程序验证一个应用程序。尝试使用这样的OBO访问令牌来对用户进行身份验证是不是一个坏主意?