gpt4 book ai didi

azure - 如何使用 Azure B2C 处理多个 API

转载 作者:行者123 更新时间:2023-12-02 22:55:53 36 4
gpt4 key购买 nike

我需要帮助来了解 Azure B2C 在需要多个 API 的情况下如何工作。

我们在这个样本中: https://api01.azurefunction.com/ https://api02.azurefunction.com/

https://app.azuresites.com/

B2C实例示例.onmicrosoft.com

API01公开范围: https://samples.onmicrosoft.com/api01/read

API02公开范围: https://samples.onmicrosoft.com/api02/write

WebApp 使用 MSAL.NET (Microsoft.Identity.Client 4.9.0),并且只能请求一个 API 的范围。任何请求两个不同资源范围的尝试都将失败,如果使用 ConfidentialClientApplicationBuilder,则这是 AD/B2C 中的限制。

我尝试通过请求范围来启动到 STS 的多次往返,但失败了。即使它可以工作,由于可能会显示同意屏幕,因此不能考虑将其用于生产用途。

在这一点上,我需要建议如何在当前情况下工作。

我有多种选择:

  1. 为这些 API 实现外观并提供单点请求数据。但这至少有消耗资源的缺点。 B2C 中不支持代表的其他重大限制。因此,我需要发明如何使用传入的安全上下文调用底层 Azure Functions。

  2. 使用 API 管理实例与 AD 集成,但对于我们的项目来说价格太大(约 2K/月)

  3. 使用“黑客”为受 AD 保护的 Azure 函数定义“允许的 token 受众”,以允许接受为一个资源获取但发送到另一个资源的 token 。这项工作有效,但我的范围将受到限制,因为范围列表将由获取 token 的资源定义。作为一种变体,我可以注册“假”应用程序并始终获取该应用程序的 token 。

  4. 在 Azure Function 中实现自定义 AccessToken 绑定(bind)器并完全发明轮子:(

选项 #3 看起来不错。有一些限制,但我希望我能解决这个问题。

但最后,如果我需要与 Azure API(例如 AD Graph API)进行通信,如何获取 token ?使用 RBAC?

请协助解决此问题。

最佳答案

如果您使用Web应用程序,建议使用Microsoft.Identity.Web库而不是 MSAL.NET。

这是我在 Blazor Server 应用程序中的配置(在 Program.cs 文件中):

builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(builder.Configuration, "AzureAdB2CConfiguration")
.EnableTokenAcquisitionToCallDownstreamApi()
.AddInMemoryTokenCaches();

正如您在上面所看到的,我正在使用 EnableTokenAcquisitionToCallDownstreamApi() 方法,该方法将允许获取访问 token 来调用多个 API。

此外,正如您所看到的,还有 AddInMemoryTokenCaches() 方法,它将在内存中存储访问 token 。对于生产场景,您应该使用一些外部存储,例如 Redis、CosmosDB 或 SQL db。您可以阅读有关这些选项的更多信息 here .

现在,在您的 Web 应用程序代码中,您可以访问 ITokenAcquisition 接口(interface)实现,这使您能够获取多个 API 的访问 token 。以下是我的网络应用程序中用于调用 API 的服务之一:

internal class UserManagementApiService
{
private readonly HttpClient _httpClient;
protected readonly ITokenAcquisition _tokenAcquisition;
private readonly IUserManagementApiConfiguration _userManagementApiConfiguration;

public UserManagementApiService(HttpClient httpClient,
ITokenAcquisition tokenAcquisition,
IUserManagementApiConfiguration userManagementApiConfiguration)
{
_httpClient = httpClient;
_tokenAcquisition = tokenAcquisition;
_userManagementApiConfiguration = userManagementApiConfiguration;
}

public async Task<HttpResponseMessage> CreateUserAsync(NewUserAccount userAccount)
{
await GetAndAddApiAccessTokenToAuthorizationHeaderAsync();
var request = new HttpRequestMessage()
{
Method = HttpMethod.Post,
RequestUri = new Uri($"{_userManagementApiConfiguration.Url}/new-user")
};
request.Content = new StringContent(JsonSerializer.Serialize(userAccount), Encoding.UTF8, "application/json");
var response = await _httpClient.SendAsync(request);

return response;
}


protected async Task GetAndAddApiAccessTokenToAuthorizationHeaderAsync()
{
string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(new[] { _userManagementApiConfiguration.Scope },
authenticationScheme: OpenIdConnectDefaults.AuthenticationScheme);
_httpClient.DefaultRequestHeaders.Authorization
= new AuthenticationHeaderValue("Bearer", accessToken);

}

正如您在上面看到的,我使用 _tokenAcquisition.GetAccessTokenForUserAsync() 方法来获取特定 API 的访问 token 。作为参数,我必须提供特定的 API 范围。

另请记住,您必须在 Azure AD B2C 门户中的 API 权限 选项卡下为已注册的 Web 应用从 Web 应用授予 API 权限:

enter image description here

通过这种方法,您可以请求多个 AP 的访问 token 。在一个请求中不可能同时获取多个访问 token 。您始终根据您在 AD B2C 请求中添加的范围获取特定资源的一个访问 token 。

通过这种方法,您还可以确保实现精细授权,并且不会在不同 API 之间混合受众参数。

我希望这会有所帮助。

关于azure - 如何使用 Azure B2C 处理多个 API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60638645/

36 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com