MSAL.js 2.0发布 支持授权代码流 (authorization code flow)

JavaScript的Microsoft Authentication Library (MSAL)库发布了2.0版本，现在我们可以在产品中使用授权代码流了。

它会首先向终结点/authorize发起一个请求，并收到一个受Proof Key for Code Exchange (PKCE) 保护的授权代码。然后这个授权码会被发送到启用了Cross Origin Resource Sharing (CORS) 的/token终结点，通过交换获得一个访问令牌和24小时刷新令牌。

为什么要使用授权代码流
像Safari等主流浏览器实现了一个默认的隐私保护功能：智能跟踪保护 (ITP)。ITP阻止跨域发送cookie，因此打破了在单页面应用程序 (SPA) 中实现隐式流的标准模式，即在浏览器中通过iframe进行静默地单点登录。

为了应对浏览器cookie的限制，OAuth发布了一个草案，建议基于浏览器的应用程序现在使用授权代码流。Microsoft identity平台现在通过更新客户端库和安全令牌服务器来实现这一点。

如何开始
要在基于浏览器的应用程序中使用最新推荐的身份验证流，请遵循快速入门或教程。还需要更新应用程序以使用最新的MSAL版本，并更新在Azure门户中的应用程序注册。