[Office add-in] Hoe add-in beperken voor eigen gebruik

Ik ben bezig met het ontwikkelen van een Outlook add-in. Het toevoegen van de add-in in bijvoorbeeld Office 365 webmail is niet meer dan het toevoegen van de url naar het XML manifest bestand.

Echter, iedereen kan dit doen die de url weet. Ook personen buiten de organisatie, of iemand die de organisatie heeft verlaten.

Ik gebruik Single Sign On om te valideren of de gebruiker is ingelogd. Eenmaal ingelogd wordt er enige data via een web-api uit eenCRM-systeem getoond.

Dit werkt dus voor iedereen, als je maar ingelogd bent op Office 365. Dus ook mensen buiten de organisatie. Dit wil ik natuurlijk graag voorkomen, maar dit wil ik liever niet doen met een extra login.

Office geeft een JWT token uit, die heb ik gedecodeerd en bevat enkele velden, waaronder het e-mailadres van de gebruiker. Ik zou daar de domeinnaam van kunnen gebruiken en die als extra validatie kunnen opvoeren. Maar is dat de juiste manier? Valt dat niet te manipuleren?

Klopt gaat om de Javascript addins. In eerste instantie probeerde ik bij het laden van de add-in een ajax call te doen en op die manier onzichtbaar te valideren of men ingelogd is, echter ik stuitte helaas op CORS problemen.

Nu laat ik de gebruiker de eerste keer een login link aanklikken, die opent in een popup, doet de validatie, sluit de popup en refreshed de add-in en genereert een sessie op de eigen server.

Dat is op zich prima, de add-in is dan iedere keer zonder in te loggen voor de duur van de sessie te gebruiken.

De vraag is dus hoe ik met deze methode veilig kan valideren of die persoon wel bij de organisatie hoort.

Edit: Wellicht doe ik te moeilijk en moet ik een login maken in de add-in, dan kan men inloggen, valideer ik via de eigen backend en plaats ik een cookie, zodat men niet steeds hoeft in te loggen.

[ Voor 13% gewijzigd door Dutch_guy op 05-06-2020 18:51 ]