У меня есть приложение, зарегистрированное в Azure AD.
Если я использую один и тот же Application ID
на уровне веб-API и на уровне клиента (приложение SPA), почему обе библиотеки аутентификации Azure AD
(ADAL JS для Azure AD v1 и MSAL.js для Azure AD v2)
использовать ID token
в качестве токена-носителя при вызове веб-API вместо запроса и использования access token
? Разве это не противоречит спецификации?