如何解决为什么调用AAD保护的AspNet Core API时使用Http 401我们的WebApp,Web API和AD Org
我一直在遵循此Azure示例来保护AspNet WebApp to a WebApi we own and secure with our own Azure Active Directory organisation
我们有一个现有的AspNet站点,该站点已经使用Azure Active Directory进行了安全保护,所以我实际上只是在尝试插入与示例TodoListService等效的示例。
该示例使用MSAL,因此我们已将站点移至该位置使用。 WebSite启动中的ConfigureServices方法是
public void ConfigureServices(IServiceCollection services)
{
services.AddOptions();
services.AddMicrosoftIdentityWebAppAuthentication(this.Configuration)
.EnableTokenAcquisitionToCallDownstreamApi(new string[] { "https://ourdomain/app.our-service/user_impersonation" })
.AddDownstreamWebApi("OurService",this.Configuration.GetSection("OurServiceApi"))
.AddInMemoryTokenCaches();
// Add Apis
services.AddOurService(this.Configuration);
services.AddAuthorization(options =>
{
options.DefaultPolicy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.RequireClaim(
System.Security.Claims.ClaimsIdentity.DefaultRoleClaimType,"Team_Administrators")
.Build();
});
services.AddRazorPages()
.AddMicrosoftIdentityUI();
services.AddServerSideBlazor()
.AddMicrosoftIdentityConsentHandler();
}
该示例说,范围必须采用api://
OpenIdConnectProtocolException:消息包含错误: 'invalid_resource',错误说明:'AADSTS500011:资源 名为api:// 4f3ca2ab-d7dc-401a-a514-37744ab3555f的主体不是 在名为1300f116-f07e-427f-b2ef-c66643994577的租户中找到。这个 如果尚未安装应用程序,则可能会发生 租户的管理员或租户中任何用户的同意。 您可能已将身份验证请求发送给错误的租户。
使用域名格式,我们可以通过网站进行身份验证。
我们可以按照示例成功调用PrepareAuthenticatedClient
方法来获取accessToken
private async Task PrepareAuthenticatedClient()
{
var accessToken = await this.tokenAcquisition.GetAccessTokenForUserAsync(new[] { this.clinicsSettings.Scopes });
System.Diagnostics.Debug.WriteLine($"access token-{accessToken}");
this.httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer",accessToken);
this.httpClient.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
}
调用tokenAcquisition.GetAccessTokenForUserAsync
将导致在浏览器中向AAD进行重定向请求,然后将用户重定向回。随后获得GetAccessTokenForUserAsync
的所有调用均成功,并且没有重定向。
有一个我们试图调用我们的Web服务的AccessToken。该呼叫从Web服务被拒绝为“ 401未经授权”。具体响应是
{状态代码:401,原因短语:“未经授权”,版本:1.1, 内容:System.Net.Http.HttpConnectionResponseContent,标头:{
传输编码:分块服务器:Microsoft-IIS / 10.0
WWW-Authenticate:承载错误=“ invalid_token”,error_description =“ The 受众群体“ https://OURDOMAIN.co.uk/app.our-service”为 无效” X-Powered-By:ASP.NET日期:2020年10月21日,星期三,格林尼治标准时间 }}
Web服务的Startup类看起来像这样
public void ConfigureServices(IServiceCollection services)
{
services.AddMicrosoftIdentityWebApiAuthentication(Configuration);
services.AddControllers();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app,IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
// Since IdentityModel version 5.2.1 (or since Microsoft.AspNetCore.Authentication.JwtBearer version 2.2.0),// PII hiding in log files is enabled by default for GDPR concerns.
// For debugging/development purposes,one can enable additional detail in exceptions by setting IdentityModelEventSource.ShowPII to true.
Microsoft.IdentityModel.Logging.IdentityModelEventSource.ShowPII = true;
app.UseDeveloperExceptionPage();
}
else
{
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseAuthentication();
app.UseRouting();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
任何人都可以帮助解释为什么accessToken不足以成功调用Web服务吗?
解决方法
对于v2.0访问令牌,范围的格式为“ api:// {ClientIdOfWebApi} / scope”,除非您的租户具有经过验证的域,在这种情况下,该域将为“ yourdomain / scope”
您可以通过在应用程序注册门户中查看AppId URI来了解它。
根据令牌的版本,Microsoft.Identity.Web会检查上面形状的受众,但是当您拥有域时,需要添加:
“受众群体”:“您的域”
在您的Web API的appsettings.json中。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。