Azure Active Directory OAuth 的精细范围

我们正在引入对精细的 Azure DevOps 范围的支持，这些作用域可用于限制与 Azure DevOps 集成的 Azure Active Directory OAuth 应用程序的行为。

通过在应用程序上设置作用域，可以限制操作 (例如写入工作项、查看源代码、配置管道等，) 应用程序代表用户连接到 Azure DevOps 时可以执行的操作。 使用允许应用执行允许基础用户执行的任何操作的单个广泛用户模拟范围的应用现在可以使用粒度范围来限制其行为。 例如，仅读取工作项的应用只能被赋予一个workitem_read范围，以便它不能有意或其他方式在此行为之外执行任何操作。

将范围添加到应用程序将要求与集成的任何应用程序必须首先通过提前定义这些作用域来声明它们试图为你执行的操作。 在同意授权此应用代表你执行操作之前，你可查看这些范围。 这可以确保你更清楚地了解应用程序对你有权访问的资源执行的操作。

作为应用程序开发人员，如果应用程序颁发的令牌落入错误之手，这将有助于限制风险向量。