Blazor WASM 调用 Azure AAD 安全函数 API 更多信息程序.csappsetting.jsonGraphAPIAuthorizationMessageHandler.cs

如何解决Blazor WASM 调用 Azure AAD 安全函数 API 更多信息程序.csappsetting.jsonGraphAPIAuthorizationMessageHandler.cs

我有一个使用 Azure Active Directory 身份验证的 Azure Functions API。我可以在本地测试并使用浏览器进行部署,并在以下过程中调用 curl :

  1. 获取代码
  2. 使用代码获取令牌
  3. 传递token进行身份验证并获取函数结果。

我现在想从我的 Blazor WASM 应用程序调用这个 API,但我确信必须有一个很好的 MSAL 调用来完成所有的身份验证,但我找不到任何关于这可能是什么的文档。

有没有人有代码片段来说明需要发生什么?

更多信息

我的 Azure Functions 应用程序和 Blazor WASM 客户端不是同一个项目的一部分,而是托管在 Azure hypotheticalapi.azurewebsites.nethypotheticalweb.azurewebsites.net 的不同子域上。

Web 客户端应用程序注册具有 API 的 API 权限,并且 API 具有应用程序注册,该应用程序注册在客户端应用程序具有权限的范围内公开自身。

同样,API 和 Web 应用程序单独运行。我似乎无法让他们说话。

我一直在关注“ASP.NET Core Blazor WebAssembly additional security scenarios”文档,但经过多次尝试后,我一直回到错误:

Microsoft.JSInterop.JSException: invalid_grant: AADSTS65001: 
The user or administrator has not consented to use the application with ID 'e40aabb0-8ed5-4833-b50d-ec7ca4e07996' named 'BallerinaBlazor5Wasm'. 
Send an interactive authorization request for this user and resource.

即使我撤销/删除了客户对 API 的权限,它也从未重复征求同意。有没有办法让我清除我之前给予的同意?不知道我该怎么做。

这个 GitHub Issue 似乎是相关的。

解决方法

过去两周我在相同的设置中遇到相同的错误代码:Blazor WASM 与 AAD 安全的 Azure Functions 应用程序对话。

就我而言,问题似乎是我在联系 AAD 标识提供程序端点时在 http 请求中列出的范围。我遇到的几乎所有示例都使用 Microsoft Graph API。在那里,User.Read 是作为示例给出的范围。我的第一个想法是,即使我在联系我自己的 API 时,我也必须在请求中包含 User.Read 范围,因为我认为这个范围对于识别用户是必要的。但是,情况并非如此,您在调用授权和令牌端点时必须列出的唯一范围是您在 AAD 应用注册中的“公开 API 刀片”下公开的范围。

我在示例中使用的是 OAuth2 授权代码,而不是隐式授权。确保在您的 API 注册清单中设置了 "accessTokenAcceptedVersion": 2 而不是 "accessTokenAcceptedVersion": null。据我所知,后者意味着使用隐式流。

我在 API 中公开的范围是 Api.Read。如果需要,您可以公开更多范围,但重点是您只要求公开的范围。

我还取消了以下两个选项(即没有隐式流程)。但是,我尝试选择“ID 令牌”,但它仍然有效。请注意,如果让 Azure 门户从函数应用身份验证边栏选项卡创建 AAD 应用注册,则默认选择“ID 令牌”选项。

enter image description here

Blazor 代码

程序.cs

必须添加此代码。

        builder.Services.AddScoped<GraphAPIAuthorizationMessageHandler>();
        
        builder.Services.AddHttpClient("{NAME}",client => client.BaseAddress = new Uri("https://your-azure-functions-url.net"))
            .AddHttpMessageHandler<GraphAPIAuthorizationMessageHandler>();

        builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
            .CreateClient("{NAME}"));

        builder.Services.AddMsalAuthentication(options =>
        {
            builder.Configuration.Bind("AzureAd",options.ProviderOptions.Authentication);
            // NOTE: no "api://" when providing the scope
            options.ProviderOptions.DefaultAccessTokenScopes.Add("{you API application id}/{api exposed scope}");
        });

appsetting.json

"AzureAd": {
"Authority": "https://login.microsoftonline.com/{aad tenant id}","ClientId": "{application id of your blazor wasm app}","ValidateAuthority": true

}

GraphAPIAuthorizationMessageHandler.cs

注意这个类可以有不同的名字。然后,您还将在 Program.cs 中引用不同的名称。

public class GraphAPIAuthorizationMessageHandler : AuthorizationMessageHandler
{
    public GraphAPIAuthorizationMessageHandler(IAccessTokenProvider provider,NavigationManager navigationManager)
        : base(provider,navigationManager)
    {
        ConfigureHandler(
            authorizedUrls: new[] { "https://your-azure-functions-url.net" },// NOTE: here with "api://"
            scopes: new[] { "api://{you API application id}/{api exposed scope}" });
    }
}

我希望这有效。如果没有,请告诉我。

,

至少需要获取访问令牌,然后使用令牌调用函数api。在这种情况下,如果您只想一步获取令牌,则可以使用client credential flow,MSAL 示例here,按照左侧的每个部分完成先决条件。

以下是大概的步骤(更多细节,你仍然需要按照上面的示例):

1.Create a new App registrationadd a client secret.

2.Instantiate the confidential client application with a client secret

app = ConfidentialClientApplicationBuilder.Create(config.ClientId)
           .WithClientSecret(config.ClientSecret)
           .WithAuthority(new Uri(config.Authority))
           .Build();

3.Get the token

string[] scopes = new string[] { "<AppId URI of your function related AD App>/.default" };

result = await app.AcquireTokenForClient(scopes)
                  .ExecuteAsync();

4.Call the function API

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer",result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...
}

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其他元素将获得点击?
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。)
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbcDriver发生异常。为什么?
这是用Java进行XML解析的最佳库。
Java的PriorityQueue的内置迭代器不会以任何特定顺序遍历数据结构。为什么?
如何在Java中聆听按键时移动图像。
Java“Program to an interface”。这是什么意思?
Java在半透明框架/面板/组件上重新绘画。
Java“ Class.forName()”和“ Class.forName()。newInstance()”之间有什么区别?
在此环境中不提供编译器。也许是在JRE而不是JDK上运行?
Java用相同的方法在一个类中实现两个接口。哪种接口方法被覆盖?
Java 什么是Runtime.getRuntime()。totalMemory()和freeMemory()?
java.library.path中的java.lang.UnsatisfiedLinkError否*****。dll
JavaFX“位置是必需的。” 即使在同一包装中
Java 导入两个具有相同名称的类。怎么处理?
Java 是否应该在HttpServletResponse.getOutputStream()/。getWriter()上调用.close()?
Java RegEx元字符(。)和普通点?