如何解决带有 ASP.NET Core 3.1 Razor Pages 的 Microsoft Identity Platform 中的疑似错误
我正在开发一个要托管在 Azure 应用服务环境中的应用程序,该环境由前端 Web 应用程序、后端 Web API 和 SQL 数据库(使用 Azure SQL)组成。前端 Web 应用程序是 Razor Pages 应用程序。我们正在尝试使用 Microsoft 身份平台(通过 Microsoft.Identity.Web 和 Microsoft.Identity.Web.UI 库)在需要时获取 API 的访问令牌。
它第一次运行得很好,但是一旦获取并缓存了令牌 - 如果应用程序重新启动,它就会失败并显示以下错误:
IDW10502:由于对用户的挑战,引发了 MsalUiRequiredException。见https://aka.ms/ms-id-web/ca_incremental-consent。
未向 AcquireTokenSilent 调用传递帐户或登录提示。
启动配置是(我已经尝试了各种变体):
public void ConfigureServices(IServiceCollection services)
{
services.AddDistributedMemoryCache();
services.Configure<CookiePolicyOptions>(options =>
{
options.CheckConsentNeeded = context => true;
options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
options.HandleSameSiteCookieCompatibility();
});
services.AddOptions();
services.AddMicrosoftIdentityWebAppAuthentication(Configuration)
.EnableTokenAcquisitionToCallDownstreamApi(new string[] { Configuration["Api:Scopes"] })
.AddInMemoryTokenCaches();
services.AddControllersWithViews(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
}).AddMicrosoftIdentityUI();
services.AddRazorPages().AddRazorRuntimeCompilation().AddMvcOptions(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
});
services.AddMvc();
//Other stuff...
}
我已经尝试了很多天,试图找到解决此问题的解决方法。我能赶上 错误,但我们无法以编程方式采取似乎可以解决问题的任何操作(ITokenAcquisition 接口不提供强制交互式登录的选项)。
我发现这只是 Razor Pages 应用程序中的一个问题 - 基于控制器的 MVC Web 应用程序具有几乎相同的启动代码并没有出现该问题。
我还发现,通过创建基于控制器的测试 MVC Web 应用程序并使用与我们遇到问题的应用程序相同的客户端 ID、租户 ID 等配置它,然后启动它(在 Visual Studio 开发环境)一旦主应用程序出现问题,我每次都可以可靠地清除错误条件。然而,这显然不是一个可行的长期解决方案。
我在每个主要的技术论坛上搜索过这个问题,看到了许多类似的问题,但没有一个提供解决这个确切问题的方法。
复制:
- 创建 ASP.NET Core 3.1 Web API。
- 创建一个调用 API 的 ASP.NET Core 3.1 Razor Pages Web 应用。
- 向 Azure Active Directory 注册并配置应用程序以请求令牌以访问 API(根据各种 MS 文档)。
- 运行 - 如果一切设置正确,登录屏幕将出现并且一切正常。
- 停止 Web 应用程序,等待几分钟,然后重新启动。现在将出现上述错误。
我已经提出了 Microsoft 支持请求 - 有没有其他人遇到过这个问题并找到了解决方案?
解决方法
我终于搞清楚了,这主要归功于:https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/issues/216#issuecomment-560150172
总结 - 对于遇到此问题的其他人:
- 在第一次调用 Web 应用程序时,您未登录,因此被重定向到 Microsoft Identity Platform 登录名,该登录名让您登录并颁发访问令牌。
- 访问令牌通过回调存储在内存中令牌缓存中。
- 然后一切都按预期工作,因为令牌在缓存中。
- 当您停止并在相当短的时间内重新启动 Web 应用程序时,它会使用身份验证 cookie 来获取当前的登录信息,因此它不会访问身份平台,而您没有获得访问令牌。
- 当您请求令牌时,缓存为空 - 因此它会抛出 MsalUiRequiredException。
任何文档中都没有明确说明这是应该发生的 - 并且该异常由“AuthorizeForScopes”属性拾取但前提是您允许异常一直下降通过,不要试图处理它。
另一个问题是,在 Razor Pages 应用程序中,正常的 AuthorizeForScopes 属性必须高于每个页面的模型类定义 - 如果您错过了一个,则可能会触发上述问题。
“jasonshave”在链接文章中提出的解决方案通过用过滤器替换属性来解决该问题 - 因此它将适用于所有页面。
也许我有点老派,但将未处理的异常用作计划程序控制流的一部分的想法并不适合我 - 至少应该明确说明这是意图.无论如何 - 现在问题解决了。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。