个人中心
gpt4 book ai didi

c# - 如何使用 IConfidentialClientApplication 获取安全 Web API 的 token

转载 作者:行者123 更新时间:2023-12-02 23:58:04 25 4
gpt4 key购买 nike

我在尝试从 C# 代码(控制台应用程序)获取 token 时收到无效 token 。让我解释一下。

场景 1(来自前端应用程序):

  1. 用户在 React 应用中输入他/她的凭据。
  2. 已调用 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize端点。
  3. 已检索到 token ID(到目前为止一切顺利)
  4. 当经过身份验证的用户向私有(private) Web API 的任何端点发出请求时,将对以下端点进行第二次调用:https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token附加第 3 步中的 token ID。
  5. 检索到新的 JWT token
  6. 此 JWT token 附加到向 Web API 发出的请求的 header
  7. 响应将返回到 React 应用程序。

这是我们在 React 应用程序和 Web API 之间交互时使用的常规流程。这是来自 MS docs 的视觉流程

现在,出现了一个新场景:

场景 2(尝试通过 C# 代码执行/模拟相同的操作):

我正在尝试从 C# 代码将 JWT token 附加到 header ,为此我使用 MSAL.NET。官方doc

为了进行测试,我使用控制台应用程序:

private static async Task RunAsync()
    {
        string clientId = "client Id of the application that I have registered using azure app registration in Azure B2C";
        string clientSecret = "client secret of the application that I have registered using azure app registration in Azure B2C";
        string instance = "https://login.microsoftonline.com/{0}/";
        string tenantId = "Tenant Id that I can see when I open the application that I have registered using azure app registration in Azure B2C";
        string webAppUri = "web app domain";

        // For Web applications that use OpenID Connect Authorization Code flow, use IConfidentialClientApplication
        IConfidentialClientApplication app;

        app = ConfidentialClientApplicationBuilder
                .Create(clientId)
                .WithClientSecret(clientSecret)
                .WithAuthority(new Uri($"https://login.microsoftonline.com/{tenantId}"))
                .WithLegacyCacheCompatibility(false)
                .Build();

        // For confidential clients, this value should use a format similar to {Application ID URI}/.default.
        // https://learn.microsoft.com/en-us/azure/active-directory/develop/quickstart-v2-netcore-daemon#requesting-tokens
        string[] scopes = new string[] { $"{webAppUri}/.default" };

        AuthenticationResult result = null;

        try
        {
            result = await app.AcquireTokenForClient(scopes).ExecuteAsync();
            Console.ForegroundColor = ConsoleColor.Green;
            Console.WriteLine("Token acquired");
            Console.WriteLine($"{result.AccessToken}");

            Console.ResetColor();
        }
        catch (MsalServiceException ex) when (ex.Message.Contains("AADSTS70011"))
        {
            // Invalid scope. The scope has to be of the form "https://resourceurl/.default"
            // Mitigation: change the scope to be as expected
            Console.ForegroundColor = ConsoleColor.Red;
            Console.WriteLine("Scope provided is not supported");
            Console.ResetColor();
        }
        

        if (result != null)
        {
            var httpClient = new HttpClient();
            var apiCaller = new ProtectedApiCallHelper(httpClient);

            string webApiUrl = "http://localhost:12345/mycustomwebapi/list";

            var defaultRequetHeaders = httpClient.DefaultRequestHeaders;
            if (defaultRequetHeaders.Accept == null || !defaultRequetHeaders.Accept.Any(m => m.MediaType == "application/json"))
            {
                httpClient.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
            }
            defaultRequetHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

            HttpResponseMessage response = await httpClient.GetAsync(webApiUrl);
            if (response.IsSuccessStatusCode)
            {
                string json = await response.Content.ReadAsStringAsync();
                var jsonResult = JsonConvert.DeserializeObject<List<JObject>>(json);
            }
            else
            {
                Console.WriteLine($"Failed to call the Web Api: {response.StatusCode}");
                string content = await response.Content.ReadAsStringAsync();
            }
            Console.ResetColor();
        }
    }

我在上面的代码中遇到的问题是我得到了一个格式良好的 JWT token 并将其附加到 header 。但是,当调用自定义/安全 Web api 时,我收到 401 未经授权的响应

所以,我对此有不同的想法:

  1. 我不太确定此 C# 代码中的步骤与场景 1 中的步骤是否相同。
  2. 或者,如果我需要在 Azure 中为已在 Azure AD 中注册的 Web API 配置任何特殊访问/权限。
  3. 我应该尝试在 C# 中执行相同的步骤吗?先调用:https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize端点和 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token获取有效的 JWT token ?

另一件事是,当比较 C# 中的 JWT token ( https://jwt.io ) 与前端应用程序中获取的 JWT token 时,存在一些不同的属性。

最佳答案

为 secret 客户端应用程序获取 token 用于当前应用程序是使用代表最终用户的 token 调用的中间层服务的情况。应用程序可以使用 token oboAssertion 请求另一个 token 来代表该用户访问下游 Web API。请参阅OAuth2.0 On-Behalf-Of flow | Microsoft Docs按照托马斯的建议-谢谢@Thomas

对于 secret 客户端请求的范围,请使用类似于 {Application ID URI}/.default 的格式。

api://{api app client id}/.default

对于自定义 Web API,{应用程序 ID URI} 在 Azure 门户中的应用程序注册(预览)> 公开 API 下定义。

大多数情况下,401错误意味着您的 token 的受众与您的api不匹配。因此,当您请求 token 时,必须确保将范围设置为您的 api。检查 aud 声明,并确保这是否是您想要的 api。当您公开受Azure保护的api时,您需要将范围设置为您的自定义api,通常是api://{api应用程序客户端id}/范围名称,然后您需要将客户端应用程序添加到api应用程序。

其他引用: reference1 , reference2

关于c# - 如何使用 IConfidentialClientApplication 获取安全 Web API 的 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68840255/

25 4 0
文章推荐: azure - rbac 角色在 azure 中可以如何嵌套?特别是使用 ADLS GEN2 存储容器的存储帐户?
文章推荐: iphone - 在IOS中检测到拍手
文章推荐: objective-c - 通过iPhone麦克风插孔收听,但通过扬声器播放?
文章推荐: 具有共享高级磁盘的 Azure 虚拟机 - 无法查看数据
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com