azure - 当用户在 Web 应用程序中进行身份验证时，对 azure 函数进行用户身份验证

Question

我有一个 ASP.NET MVC Web 应用程序作为 Azure 应用服务中的 Web 应用程序运行。此 Web 应用程序通过 HttpClient 从 Controller 调用 Azure 函数。身份验证/授权是在 Web 应用程序中使用 Azure Active Directory 配置的。我还需要在调用 Azure 函数时对用户进行身份验证，以便我可以访问用户声明。我还尝试在 Azure 函数本身中配置身份验证，但这会导致每当我从 Web 应用程序调用该函数时都会出现“未经授权的响应”。有没有办法让 Web 应用程序和 Azure 功能使用相同的 Active Directory 身份验证。这样，当用户通过 Web 应用程序的身份验证时，他不需要在 Azure 函数中再次进行身份验证，并且所有用户声明都将在函数本身中可用？

Answer 1

我可以想到三种不同的可行方法。

使用不记名 token 。

创建两个单独的应用程序注册，一个用于 Web 应用程序，一个用于函数应用程序。为各个应用程序设置身份验证/授权功能，并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。

为了确保您的 Web 应用程序的访问 token 是可用于联系您的函数应用程序的 JWT，您需要向您的 Web 应用程序添加其他登录参数。为此，请遵循 instructions here ，而是设置 additionalLoginParams至resource=<your-function-app-registration-client-id> .

当用户向 Web 应用程序发出经过身份验证的请求时，应填充名为 X-MS-TOKEN-AAD-ACCESS-TOKEN 的 header 。它应该是函数应用程序的应用程序注册受众的访问 token 。然后可以将其用作函数应用程序 API 调用的承载 token ，这应满足函数应用程序的身份验证/授权要求。

使用代流

创建两个单独的应用程序注册，一个用于 Web 应用程序，一个用于函数应用程序。为各个应用程序设置身份验证/授权功能，并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。

然后，按照 on-behalf-of flow 操作以便 Web 应用程序可以获得功能应用程序经过身份验证的用户的访问 token 。有几个库可以帮助完成此流程。请参阅ADAL如果您的应用程序注册是 AAD V1 应用程序，或 MSAL如果您的应用注册是 AAD V2 应用。

使用客户端定向流 (X-ZUMO-AUTH)

创建两个单独的应用程序注册，一个用于 Web 应用程序，一个用于函数应用程序。为各个应用程序设置身份验证/授权功能，并将两者配置为需要 AAD 访问。授予 Web 应用程序的 AAD 应用程序注册权限以访问功能应用程序的 AAD 应用程序注册。

为了确保 Web 应用程序的访问 token 可用于针对函数应用程序进行身份验证，您需要向 Web 应用程序添加其他登录参数。为此，请遵循 instructions here ，而是设置 additionalLoginParams至resource=<your-function-app-registration-client-id> .

当用户向 Web 应用程序发出经过身份验证的请求时，应填充名为 X-MS-TOKEN-AAD-ACCESS-TOKEN 的 header 。它应该是函数应用程序的应用程序注册受众的访问 token ，以及 header X-MS-TOKEN-AAD-ID-TOKEN 中的 id token 。使用有效负载向 https://.azurewebsites.net/.auth/login/aad 发出 POST 请求
{"id_token": <id-token>, "access_token": <access-token>} 。这将返回一个 session token ，您可以将其附加为 X-ZUMO-AUTH用于验证请求的 header 。

注意:此选项中的声明将是身份验证 token 的声明，而不是像前两个选项中那样的身份提供者的声明。要获得与其他选项相同的声明，请设置应用程序设置 WEBSITE_AUTH_ZUMO_USE_TOKEN_STORE_CLAIMS至true .