Azure Active Directory OAuth 的粒度范围

我们支持精细的 Azure DevOps 范围，这些范围可用于限制与 Azure DevOps 集成的 Azure Active Directory OAuth 应用程序的行为。

通过在应用程序上设置范围，可以限制操作（例如写入工作项、查看源代码、配置管道等），应用程序代表用户连接到 Azure DevOps 时可以执行这些操作。 使用单个广泛的用户模拟范围的应用，该范围允许应用执行基础用户允许执行的任何操作，现在可以使用粒度范围来限制其行为。 例如，仅读取工作项的应用只能提供一个workitem_read范围，以便它不能有意或无意地执行此行为之外的任何操作。

将作用域添加到应用程序需要你与任何集成的应用程序必须首先通过提前定义这些作用域来声明它们尝试为你执行的操作。 在同意授权此应用代表你执行操作之前，可查看这些范围。 这可确保你能够更清楚地了解应用程序对有权访问的资源执行的操作。

作为应用程序开发人员，如果应用程序颁发的令牌落入错误之手，这将帮助限制风险向量。