如何解决使用 Microsoft.Identity.Web 对 WebApp+API 的用户进行身份验证,以及如何管理生命周期
我正在尝试创建一个使用多租户 Azure AD 进行身份验证和授权的 web 应用程序。我正在尝试使用 Microsoft.Identity.Web 关注 the docs,但我没有点击这些片段。
我已经成功地创建了一个网络应用程序,用户可以在其中登录、重定向回我的网站,并将 id_token 保存到他们的浏览器 cookie 中,以便网络应用程序能够告诉谁他们是。但是,我的网络应用也本身包含 API,我不清楚我们应该如何获取 access_token,以及管理refresh_tokens 的生命周期,用于在 Web 应用程序本身上调用 API。实际上,Microsoft.Identity.Web 的文档中似乎根本没有涉及刷新。
我还尝试使用 AddCookie()+AddOpenIdConnect()(更通用的解决方案)代替专用 SDK。使用这些中间件选项,我已经成功地获得了 id_token、access_token、和 refresh_token。 (这似乎连接了所有访问和刷新/生命周期。)但是,所有这些令牌都占用了相当多的 cookie 空间,并导致来自 Kestrel 的 431 Request Header Fields Too Large 错误,而无需自定义。
很明显,其目的是将访问/刷新令牌存储在服务器端的某种内存或分布式缓存中。但是,该文档似乎没有概述如何处理还包含 API 控制器的“网络应用程序”,而且似乎也没有概述如何处理一般的令牌刷新。
有没有人有更好的代码示例来说明如何配置使用 Azure AD 对用户进行身份验证的 WebApp,以及如何使用 refresh_token 正确处理刷新 id/访问令牌?
解决方法
刷新令牌由 Microsoft.Identity.Web 使用的 MSAL.NET 自动处理。
我们建议您查看以下示例:https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/tree/master/4-WebApp-your-API/4-3-AnyOrg 但您的网络应用程序和网络 API 将具有相同的客户端 ID(和应用程序)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。