Microsoft Identity Web Blazor WASM 中的令牌无效

Question

我刚刚尝试完成此操作： https://github.com/Azure-Samples/active-directory-dotnet-native-aspnetcore-v2/tree/master/1.%20Desktop%20app%20calls%20Web%20API

我没有使用 WPF 应用程序，而是使用 Blazor WASM 客户端。

我将令牌添加到我的 .net 核心 API 的传出请求中，但我总是得到 401。

Blazor 验证良好并取回令牌，似乎工作正常，但是：

• 观众的 GUID 错误
• 缺少“scp”（范围），因此令牌无法使用

如果我从上述链接运行示例并解码令牌，我可以在令牌中看到正确的 AUD 和 SCP。 所以这可能与我在 Blazor 中的配置有关？

在 Blazor 中配置

// AD authentication
builder.Services.AddMsalAuthentication(options =>
{
    builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
    options.ProviderOptions.DefaultAccessTokenScopes.Add("api://xxx-xxxx-xxxx-xxxx/access_as_user");
});

builder.Services
       .AddHttpClient<IApiClient, ApiClient>(client => client.BaseAddress = _baseUri)
       .AddHttpMessageHandler<BaseAddressAuthorizationMessageHandler>();

回复

Bearer error="invalid_token", error_description="The audience '63ee4227-xxxx-xxxx-xxxx' is invalid"

观众 GUID 是我的 Blazor 应用注册的 clientID

Startup.cs 中的代码

...
services.AddProtectedWebApi(Configuration)
        .AddInMemoryTokenCaches();
...

...
app.UseAuthentication(); 
app.UseAuthorization();
...

知道可能出了什么问题吗？

Answer 1

当我学习使用 Blazor WebAssembly 时，我遵循了这个教程，它做了一些非常相似的事情，它可能更容易实现，因为你不必尝试从 WPF 转换任何代码。

但是，要尝试的一件事是改变这一点：

options.ProviderOptions.DefaultAccessTokenScopes.Add("api://xxx-xxxx-xxxx-xxxx/access_as_user");

对此：

options.ProviderOptions.DefaultAccessTokenScopes.Add("xxx-xxxx-xxxx-xxxx/access_as_user");

在我的应用程序中，我调用了两个 API 端点，一个托管在与 Blazor 应用程序相同的域中，另一个位于单独的域中。 为外部域请求令牌时，必须使用api://前缀。 但是，对于同一个域，它必须被排除。