重定向 URI 必须以 https 方案开头。 有一些 localhost 重定向 URI 例外 。

重定向 URI 区分大小写，并且必须与正在运行的应用程序的 URL 路径的大小写相匹配。 例如，如果应用程序将作为其路径 .../abc/response-oidc 的一部分包含在内，请不要在重定向 URI 中指定 .../ABC/response-oidc 。 由于 Web 浏览器将路径视为区分大小写，因此在重定向到大小写不匹配的 .../ABC/response-oidc URL 时，可能会排除与 .../abc/response-oidc 关联的 cookie。

未配置路径段的重定向URI会在响应中返回，并带有尾部斜杠 (' / ')。 仅当响应模式为 query 或 fragment 时才适用。

包含路径段的重定向 URI 不会在响应中附加尾部斜杠。

重定向 URI 不支持特殊字符 - ! $ ' ( ) , ;

重定向 URI 的最大数量

此表显示了可以在 Microsoft 标识平台中添加到应用注册的重定向 URI 的最大数目。

出于 安全原因 ，无法提高重定向 URI 的最大数量。 如果方案所需的重定向 URI 数目超过允许的最大限制，请考虑使用以下 状态参数方法 作为解决方案。

最大 URI 长度

对于要添加到应用注册中的每个重定向 URI，最多可以使用 256 个字符。

重定向应用程序对象与服务主体对象中的 URI

• http://localhost/myApp
• https://localhost/myApp
• 由于原生应用程序经常需要临时端口范围，因此，在匹配重定向 URI 时会忽略端口组件（例如 :5001 或 :443 ）。 因此，下面所有这些 URI 都被视为等效：
  • http://localhost/MyApp
  • http://localhost:1234/MyApp
  • http://localhost:5000/MyApp
  • http://localhost:8080/MyApp

  从开发的角度来看，这意味着：

  • 不要注册多个只有端口不同的重定向 URI。 登录服务器会任意选取一个，并使用与该重定向 URI 关联的行为（例如，不管它是 web 类型的、 native 类型的还是 spa 类型的重定向，都会这样做）。

    当你想在同一应用程序注册中使用不同的身份验证流（例如，授权代码授予和隐式流）时，这尤其重要。 若要将正确的响应行为与每个重定向 URI 相关联，登录服务器必须能够区分重定向 URI，在只有端口不同的情况下不能这样做。

  • 若要在 localhost 上注册多个重定向 URI，以在开发过程中测试不同的流，请使用 URI 的 path 组件来区分它们。 例如， http://localhost/MyWebApp 与 http://localhost/MyNativeApp 不匹配。

  • 当前不支持 IPv6 环回地址 ( [::1] )。

    首选 127.0.0.1，而不是 localhost

    若要防止应用被错误配置的防火墙或重命名的网络接口中断，请使用重定向 URI 中的 IP 文本环回地址 127.0.0.1 ，而不是使用 localhost 。 例如， https://127.0.0.1 。

    但不能使用 Azure 门户中“重定向 URI”文本框添加基于环回且使用 http 方案的重定向 URI：

    若要添加在 127.0.0.1 环回地址中使用 http 方案的重定向 URI，当前必须修改应用程序清单中的 replyUrlsWithType 属性。

    重定向 URI 中对通配符的限制

    类似 https://*.contoso.com 的通配符 URI 可能看起来很方便，但由于安全方面的影响，应避免使用它们。 根据 OAuth 2.0 规范（ RFC 6749 第 3.1.2 部分 ），重定向终结点 URI 必须是绝对 URI。 因此，当配置的通配符 URI 与重定向 URI 匹配时，将去除重定向 URI 中的查询字符串和片段。

    对于配置为登录个人 Microsoft 帐户以及工作或学校帐户的应用注册，目前不支持通配符 URI。 但是，对于组织的 Microsoft Entra 租户中配置为仅将工作帐户或学校帐户登录的应用，允许使用通配符 URI。

    若要将具有通配符的重定向 URI 添加到用于登录工作帐户或学校帐户的应用注册，请使用 Azure 门户的 应用注册 中的应用程序清单编辑器。 虽然可以通过使用清单编辑器来设置带通配符的重定向 URI，但我们还是强烈建议你遵循 RFC 6749 的 3.1.2 节的要求， 只使用绝对 URI。

    如果方案所需的重定向 URI 数目超过允许的最大限制，请考虑以下状态参数方法，而不要添加通配符重定向 URI。

    使用状态参数

    如果你有多个子域，并且你的方案要求在身份验证成功时将用户重定向到开始操作时所在的页面，则使用状态参数可能有帮助。

    在此方法中：

  • 为每个应用程序创建一个“共享的”重定向 URI，用于处理从授权终结点收到的安全令牌。
  • 应用程序可以在状态参数中发送应用程序特定的参数（例如用户的来源子域 URL，或品牌信息等）。 使用状态参数时，请按照 RFC 6749 的第 10.12 部分 中的规定提供 CSRF 保护措施。
  • 应用程序特定的参数包含应用程序为用户呈现正确体验（即，构造相应的应用程序状态）所需的所有信息。 Microsoft Entra 授权终结点从状态参数中提取 HTML，因此请确保未在此参数中传递 HTML 内容。
  • 当 Microsoft Entra 将响应发送到“共享”重定向 URI 时，它会将状态参数发回给应用程序。
  • 然后，应用程序可以使用状态参数中的值来确定要进一步将用户发送到哪个 URL。 确保验证 CSRF 保护措施。

  此方法允许遭到攻击的客户端修改状态参数中发送的其他参数，从而将用户重定向到其他 URL，这就是 RFC 6819 中所述的 开放重定向程序威胁 。 因此，客户端必须对状态加密或通过其他一些方式进行验证（如根据令牌验证重定向 URI 中的域名），从而保护这些参数。

  了解应用注册 应用程序清单 。