微软身份平台身份验证选择

Question

我们正在开发一个网络应用程序，不同的客户可以在其服务器上安装。 Web应用程序使用Node.js作为后端，主应用程序在C＃中实现。主应用程序（C＃）还具有邮件客户端同步。对于Microsoft EWS，我们目前正在使用基本身份验证，但是现在我们想用Microsoft Azure Authentication替换它。

我完全不明白哪种身份验证选项最适合这种情况。我们想在我们的Azure帐户中注册一个应用程序（客户不必在其Azure注册应用程序）。然后，在我们的Web应用程序中，我们希望客户能够单击一个“添加Microsoft登录”按钮（到目前为止，它要求提供Microsoft帐户的用户名和密码）。然后，应将用户重定向到Microsoft页面，并要求请求EWS/Graph所需的权利。随后，客户服务器上的应用程序应具有一个代币，主要应用程序（C＃）可以用来在后台永久同步电子邮件（最好支持应用程序权限和委派权限）。

由于应用程序是在客户端服务器上安装的，因此我们无法将应用程序秘密放在应用程序本身中。因此，Microsoft的身份验证示例（例如“ Web App”）可能不是正确的选择？另一个想法是，客户应用程序与我们的中央服务器进行通信，其中存储了Azure应用程序的秘密密钥。但是，我们不想使用我们的秘密密钥访问所有客户帐户。客户的令牌应保留在其服务器上。

哪种身份验证方法对于此应用程序最有意义？

提前致谢！