Azure 功能 身份验证 - 可能没有 AD？

Question

我正在努力保护一些 Azure Functions 端点。 我尝试使用证书，但遇到了一些问题

1. 在 FunctionsStartup （从中派生出我的启动）中，我找不到连接我的 AddAuth 和 Auth 方法/类的方法。 （我尝试搜索，阅读有关此主题的更多信息，但所有答案都是针对 web API 其他类型的身份验证）
2. 我试图至少检查证书是否存在，但这也没有奏效。 我试图从 request-context-connection-ClientCertificate 获取证书或从标头中读取它。 在本地或已部署的版本上不起作用。 证书始终为 null。

我看到有一些选项可以使用 AD 来保护它（也可以使用 facebook、google 等），但首先我很好奇是否有人成功实现了另一种 Auth 方法，更像是经典的 web Z8A5DA52ED126447D359E 方法（证书方法） ，其他类似的东西）

Answer 1

访问限制使您能够定义优先排序的允许/拒绝列表，以控制对您的应用程序的网络访问。 该列表可以包括IP addresses或 Azure Virtual Network subnets 。 当有一个或多个条目时，列表末尾会存在一个隐含的“全部拒绝”。

您还可以在客户端请求通过 TLS/SSL 时请求客户端证书并验证证书。 这种机制称为 TLS 相互认证或客户端证书认证。

首先，您的应用服务计划必须处于基本、标准、高级或隔离层。

其次，启用客户端证书：

az webapp update --set clientCertEnabled=true --name <app_name> --resource-group <group_name>

最后，访问客户端证书。 应用服务使用客户端证书注入X-ARR-ClientCert请求 header。 您的应用代码负责验证客户端证书。

有关如何为 Azure App Service 配置 TLS 相互认证的更多详细信息，请参阅本文。