当应用程序在 Azure 中时,如何使用 MSAL 进行身份验证?
[英]How can i use MSAL to authenticate when the app is in Azure?
问题描述
我在 Azure 中有一个 Web 应用程序,用户通过浏览器中的链接(例如 https://<SITE_NAME>.azurewebsites.net)进行连接。
我正在考虑使用 Graph API,并在 Azure 中的应用程序上实现如下
string clientId = "<CLIENT_ID>";
string clientSecret = "<CLIENT_SECRET>";
var app = ConfidentialClientApplicationBuilder
.Create(clientId)
.WithClientSecret(clientSecret)
.WithRedirectUri("http://localhost")
.Build();
string[] scopes = new string[]
{
"https://graph.microsoft.com/user.read"
};
var result = await app.AcquireTokenInteractive(scopes)
.ExecuteAsync();
//此时如果成功登录,用户将获得一个访问令牌,他们可以用来进行其他api调用。
如果我的应用程序托管在 Azure 中,AcquireTokenInteractive 行将弹出“登录到您的帐户”Microsoft 窗口,并且该窗口将在 Azure 服务器上弹出,这是正确的还是我遗漏了什么?
如果上述内容不正确,我是否必须手动执行 1. 获取授权令牌 2. 使用该授权令牌获取访问令牌?
如果这是必需的方式,是否有示例应用程序显示 c# 中所需的步骤?
1 个解决方案
解决方案1
0 已采纳 2021-07-20 07:28:08
- 如果我的应用程序托管在 Azure 中,则 AcquireTokenInteractive 行将弹出“登录您的帐户”
Microsoft 窗口和 Azure 服务器上将弹出该窗口,这是正确的还是我遗漏了什么?
是的,它是正确的,行 AcquireTokenInteractive 将弹出“登录您的帐户”,AcquireTokenInteractive 方法将获取访问令牌,MSAL 将此令牌保存在其令牌缓存中。 Azure 服务器上将弹出 Microsoft 窗口。
当您使用适用于 .NET 的 Microsoft 身份验证库 (MSAL.NET) 获取访问令牌时,该令牌将被缓存。
当应用程序需要令牌时,它应该首先调用 AcquireTokenSilent 方法来验证缓存中是否存在可接受的令牌。
在许多情况下,可以根据缓存中的令牌获取具有更多范围的另一个令牌。
也可以在令牌即将到期时刷新令牌(因为令牌缓存还包含刷新令牌)。
推荐的模式是首先调用 AcquireTokenSilent 方法。 如果 AcquireTokenSilent 失败,则使用其他方法获取令牌。
您可以参考以下链接了解更多信息:
https://github.com/Azure-Samples/ms-identity-aspnet-webapi-onbehalfof
https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-net-acquire-token-silently
- 如果上述内容不正确,我是否必须手动执行 1. 获取授权令牌 2. 使用该授权令牌获取访问令牌?
如果这是必需的方式,是否有示例应用程序显示 c# 中所需的步骤?
但是,如果您想手动获取令牌,以下代码显示了使用Microsoft.Identity.Web在家庭控制器中执行此操作的示例。
它使用 REST API(而不是 Microsoft Graph SDK)调用 Microsoft Graph。
要获取令牌以调用下游 API,您需要注入
ITokenAcquisition服务通过在您的控制器的构造函数(或您的页面构造函数,如果您使用 Blazor)中的依赖注入,
并且您在控制器操作中使用它,在守护程序场景中为用户 ( GetAccessTokenForUserAsync ) 或应用程序本身 ( GetAccessTokenForAppAsync ) 获取令牌。
控制器方法受[Authorize]属性保护,确保只有经过身份验证的用户才能使用 Web 应用程序。
您可以通过以下链接浏览示例应用程序:
无法使用 MSAL 针对 Azure DevOps 验证个人 Microsoft 帐户
[英]Can't authenticate personal Microsoft account against Azure DevOps using MSAL
Azure - 使用 MSAL 生成可用于访问 BlobServiceClient 的 AccessToken
[英]Azure - Use MSAL to generate AccessToken which can be used to access BlobServiceClient
如何使用OWIN通过令牌直接通过OpenID Connect进行身份验证
[英]How can I use OWIN to authenticate with OpenID Connect directly with a token
登录 Azure 数据库时,如何配置 Nhibernate 以使用 Azure Managed Identity?
[英]How can i configure Nhibernate to use Azure Managed Identity when logging into Azure database?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
MSAL + Azure应用服务
无法使用 MSAL 针对 Azure DevOps 验证个人 Microsoft 帐户
Azure - 使用 MSAL 生成可用于访问 BlobServiceClient 的 AccessToken
如何在Web App Service中使用“Azure文件存储”?
如何使用linq验证用户名/密码?
如何使用OWIN通过令牌直接通过OpenID Connect进行身份验证
如何验证域?
如何认证用户?
登录 Azure 数据库时,如何配置 Nhibernate 以使用 Azure Managed Identity?
MSAL 何时可以刷新令牌?
相关标签