Je joue avec le modèle d'ajout Web Outlook de démarrage dans Visual Studio 2019.
Besoin de conseils de sécurité

dans MessageRead.js je peux utiliser Office.context.mailbox.userProfile pour obtenir des informations sur le profil utilisateur ajouté
Par exemple : userDisplayName, userEmailAddress, id, et bien plus encore.

Je me demande si c'est une mauvaise idée d'utiliser "id" comme forme de méthode d'authentification SSO avec mon application Web tierce.
Je demanderais d'abord à l'utilisateur de s'authentifier avec e-mail+mot de passe+ID à partir d'Office.context.mailbox.userProfile, puis de stocker l'ID avec le userRecord dans ma base de données.

La prochaine fois que l'utilisateur ouvrira le module Outlook, il se connectera automatiquement avec "seulement" l'identifiant d'Office.context.mailbox.userProfile

La question est : est-ce totalement dangereux et ne doit-il pas être utilisé ?
essayer d'éviter la méthode oAuth et trouver une approche plus simple.

si c'est une mauvaise idée, pouvez-vous me montrer un exemple de méthode sécurisée simple.
Merci.

0
Aron 20 nov. 2019 à 18:36

1 réponse

Meilleure réponse

Le moyen recommandé d'obtenir l'ID utilisateur et de le mapper à l'utilisateur dans le backend du complément est d'obtenir le jeton utilisateur et d'utiliser l'ID à partir de celui-ci. Veuillez vous référer à la documentation sur https://docs.microsoft.com/en-us/outlook/add-ins/authenticate-a-user-with-an-identity-token

1
Outlook Add-ins Team - MSFT 21 nov. 2019 à 10:09