在與Azure AD B2C集成的網站中獲取訪問令牌

Question

我有一個ASP.NET MVC Core 2.2應用程序，它與Azure AD B2C集成以驗證用戶身份。 我可以正確登錄，並且用戶已通過身份驗證。

我還創建了一個ASP.NET Core Web API，它也與Azure B2C AD集成，目標是從ASP.NET MVC控制器操作方法調用該Web api。

所以我在MVC站點的控制器中添加了以下測試代碼：

if (HttpContext.User.Identity.IsAuthenticated)
{
    string signedInUserID = HttpContext.User.FindFirst(ClaimTypes.NameIdentifier).Value;
    TokenCache userTokenCache = new MSALSessionCache(signedInUserID, HttpContext).GetMsalCacheInstance();
    ConfidentialClientApplication cca = new ConfidentialClientApplication(mgpPortalApplicationId, authority, redirectUri, new ClientCredential(mgpPortalSecretKey), userTokenCache, null);                
    IEnumerable<IAccount> accounts = await cca.GetAccountsAsync();
    IAccount firstAccount = accounts.FirstOrDefault();
    AuthenticationResult result = await cca.AcquireTokenSilentAsync(null, firstAccount, authority, false);
    HttpClient client = new HttpClient();
    HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Get, "https://localhost:44307/api/values");
    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);
    HttpResponseMessage response = await client.SendAsync(request);
}

問題是accounts.FirstOrDefault()返回null。 不確定原因：

• signedInUserID包含登錄用戶的標識符
• mgpPortalApplicationId是MVC站點的應用程序ID
• 權威是“ https://login.microsoftonline.com/tfp/primfoodcareb2c.onmicrosoft.com/B2C_1_mgpsignupsignin/v2.0 ”
• redirectUri是“ https：// localhost：44355 / signin-oidc ”
• mgpPortalSecretKey包含我將MVC應用程序添加到B2C租戶時生成的密碼

有沒有人知道我做錯了什么？ 謝謝你的任何提示！

附加觀察：如果我運行演示https://github.com/Azure-Samples/active-directory-b2c-dotnetcore-webapp ，它使用較舊的Microsoft.Identity.Client，則調用cca.Users.FirstOrDefault（ ）正確回饋用戶。 但是，當我將此演示項目升級到Microsoft.Identity.Client 2.7（.NET Core 2.2需要）時，我必須傳遞一個IAccount，因此我需要調用GetAccountsAsync() ，這不會返回任何帳戶。

Answer 1

首先，在調用AcquireTokenSilentAsync時，您需要詢問訪問api所需的范圍

AuthenticationResult result = await cca.AcquireTokenSilentAsync(scope, cca.Users.FirstOrDefault(), AzureAdB2COptions.Authority, false);

您需要使用授權中間件的AuthorizationCodeReceived通知實現初始令牌獲取並在MSAL令牌緩存中保存令牌：

public async Task OnAuthorizationCodeReceived(AuthorizationCodeReceivedContext context)
{
    // Use MSAL to swap the code for an access token
    // Extract the code from the response notification
    var code = context.ProtocolMessage.Code;

    string signedInUserID = context.Principal.FindFirst(ClaimTypes.NameIdentifier).Value;
    TokenCache userTokenCache = new MSALSessionCache(signedInUserID, context.HttpContext).GetMsalCacheInstance();
    ConfidentialClientApplication cca = new ConfidentialClientApplication(AzureAdB2COptions.ClientId, AzureAdB2COptions.Authority, AzureAdB2COptions.RedirectUri, new ClientCredential(AzureAdB2COptions.ClientSecret), userTokenCache, null);
    try
    {
        AuthenticationResult result = await cca.AcquireTokenByAuthorizationCodeAsync(code, AzureAdB2COptions.ApiScopes.Split(' '));


        context.HandleCodeRedemption(result.AccessToken, result.IdToken);
    }
    catch (Exception ex)
    {
        //TODO: Handle
        throw;
    }
}

因此，當在控制器中獲取令牌時，MSAL將查找緩存並返回符合要求的任何緩存令牌。 如果此類訪問令牌已過期或者沒有合適的訪問令牌，但存在關聯的刷新令牌，則MSAL將自動使用該令牌獲取新的訪問令牌並以透明方式返回：

// Retrieve the token with the specified scopes
var scope = AzureAdB2COptions.ApiScopes.Split(' ');
string signedInUserID = HttpContext.User.FindFirst(ClaimTypes.NameIdentifier).Value;
TokenCache userTokenCache = new MSALSessionCache(signedInUserID, this.HttpContext).GetMsalCacheInstance();
ConfidentialClientApplication cca = new ConfidentialClientApplication(AzureAdB2COptions.ClientId, AzureAdB2COptions.Authority, AzureAdB2COptions.RedirectUri, new ClientCredential(AzureAdB2COptions.ClientSecret), userTokenCache, null);

AuthenticationResult result = await cca.AcquireTokenSilentAsync(scope, cca.Users.FirstOrDefault(), AzureAdB2COptions.Authority, false);

下面是使用ASP.NET Core 2.0和MSAL 2的代碼示例，請閱讀README.md以獲取詳細說明。

您還可以單擊此處以獲取針對Azure AD B2C對用戶進行身份驗證的代碼示例，並使用ASP.NET Core 2.1使用MSAL.NET獲取訪問令牌。

Answer 2

.NETCore B2C Web應用程序已更新為使用MSAL v2.7。 使用的范圍不正確，因此示例現在使用正確的范圍並返回訪問令牌。

"ApiScopes": "https://fabrikamb2c.onmicrosoft.com/helloapi/demo.read"

Answer 3

@ L-Four，實際上你提到的代碼的一個分支已經更新到最新版本的MSAL： active-directory-b2c-dotnetcore-webapp

說，在運行它時，我收到了未經授權的錯誤。 所以不確定那是怎么回事。 但我確實得到了一個帳戶。