温馨提示:本文翻译自stackoverflow.com,查看原文请点击:OAuth Authentication - Access Token using JavaScript (CORS Policy) error
azure-active-directory javascript oauth-2.0 powerbi

OAuth Authentication - 使用JavaScript访问令牌(CORS策略)错误

发布于 2020-05-27 11:56:13

我正在使用JavaScript将Power BI Reports嵌入到另一个应用程序中,并且可以使用下面的JavaScript代码生成访问令牌(Barear),但并非在所有浏览器中都可以使用。它显示在下面的错误消息。

通过CORS策略阻止了对来自源“空”的https://login.microsoftonline.com/ <> / oauth2 / token” 处的XMLHttpRequest的访问:对预检请求的响应未通过访问控制检查:否“访问- Control-Allow-Origin'标头出现在请求的资源上。

我添加了必需的请求标头,但结果仍然相同。 

	 var key;  
	 var request = new XMLHttpRequest(); 
    request.open("POST", "https://login.microsoftonline.com/<<tenant_id>>/oauth2/token", true); 
  
	request.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
	request.setRequestHeader('Access-Control-Allow-Headers', 'x-requested-with');
	request.setRequestHeader('Access-Control-Allow-Origin', '*');
    request.send("grant_type=client_credentials&client_id=<<clientid>>&client_secret=<<clientsecret>>&resource:<<resourceurl>>"); // specify the credentials to receive the token on request
    request.onreadystatechange = function () {
        if (request.readyState == request.DONE) {
            var response = request.responseText;
            var obj = JSON.parse(response); 
            key = obj.access_token; 
            token_ = key; 
        }
    }

有任何想法吗?

谢谢!

查看更多

提问者
Mittal Patel
被浏览
9
分享
Tony Ju 2020-03-11 09:38

您永远不应将客户端机密放在前端。

我们建议您为前端使用azure-activedirectory-library-for-js轻松集成AAD。您可以使用Microsoft Online Auth引用No'Access-Control-Allow-Origin'标头以了解详细信息。

client_credentialsgrant_type用于仅应用程序场景。如果必须使用客户端凭据流,则需要在应用程序的后端获取访问令牌并将其返回给前端。

Mittal Patel 1970-01-01 08:00:00

非常感谢您的回复,这很有帮助。我尝试了ADAL.js代码,并成功在浏览器URL中获取了id_token。我对RedirectURI有一个后续问题。应该是什么?我将Power BI报表嵌入ServiceNow应用程序中。Azure AD应用程序中的重定向URI应该是什么?Power BI URL或ServiceNow页面URL或其他?

相关问题

1
如何使用Powershell将扩展属性从Azure AD导出到CSV
2
如何从Ibiza扩展名调用AAD图
3
我可以使用应用程序注册(不是企业应用程序)配置SSO SAML吗?
4
如何以正确的方式启用租户限制
5
在Azure AD中如何为特定区域的用户进行身份验证和授权?
6
在AD B2C中更改用户密码后如何验证用户ID令牌
7
如何验证Azure AD Access的appid
8
使用Azure AD身份验证到Snowflake的SQLAlchemy连接
9
来宾用户如何在Azure Active Directory中重置其MS Authenticator MFA设置?
10
如何创建Azure Web应用程序以对用户进行身份验证并获取其访问令牌?

热门github

1
real time face swap and one-click video deepfake with only a single image
2
A quick example of how one can "synchronize" a 3d scene across multiple windows using three.js and localStorage
3
ChatGPT DAN, Jailbreaks prompt
4
21 Lessons, Get Started Building with Generative AI 🔗 https://microsoft.github.io/generative-ai-for-beginners/ (翻译:12 节课程,开始使用生成式 AI 进行构建)
5
Curated list of project-based tutorials (翻译:收藏了基于项目的教程列表)
6
Truly independent web browser
7
Python - 100天从新手到大师
8
An open source payments switch written in Rust to make payments fast, reliable and affordable (翻译:YOLOv8 🚀 in PyTorch > ONNX > CoreML > TFLite)
9
Agent S: an open agentic framework that uses computers like a human
10
Master programming by recreating your favorite technologies from scratch. (翻译:在这个项目中,你能学会如何创造自己的各种工具,引擎,游戏,框架,库......)
11
Jelly Evolution Simulator
12
Collection of leaked system prompts
13
🤯 Lobe Chat - an open-source, modern-design AI chat framework. Supports Multi AI Providers( OpenAI / Claude 3 / Gemini / Ollama / DeepSeek / Qwen), Knowledge Base (file upload / knowledge management / RAG ), Multi-Modals (Plugins/Artifacts) and Thinking. One-click FREE deployment of your private ChatGPT/ Claude / DeepSeek application. (翻译:LobeChat 是开源的高性能聊天机器人框架,支持语音合成、多模态、可扩展的(Function Call)插件系统。)