Asp.net core 带有ASP.NET Core 3.1 Razor页面的Microsoft Identity Platform中存在可疑漏洞

我正在开发一个将托管在Azure App Services环境中的应用程序，该环境由前端Web应用程序、后端Web API和SQL数据库（使用Azure SQL）组成。前端Web应用程序是Razor Pages应用程序。我们正在尝试使用Microsoft Identity Platform（通过Microsoft.Identity.Web和Microsoft.Identity.Web.UI库）在需要时获取API的访问令牌

它在第一次运行时效果很好，但一旦获取并缓存了令牌-如果重新启动应用程序，则会出现以下错误：

IDW10502:由于用户的质询，引发了MsalUiRequiredException。看
未向AcquireTokenSilent调用传递任何帐户或登录提示

启动配置是（我已经尝试了各种不同的版本）：

public void配置服务（IServiceCollection服务）
{
AddDistributedMemoryCache（）；
配置（选项=>
{
options.checkApprovered=context=>true；
options.MinimumSameSitePolicy=SameSiteMode.Unspecified；
options.HandleSameSiteCookieCompatibility（）；
});
services.AddOptions（）；
services.AddMicrosoftIdentityWebAppAuthentication（配置）
.EnableTokenAcquisitionTollDownstreamAPI（新字符串[]{Configuration[“Api:Scopes”]}）
.AddInMemoryTokenCaches（）；
services.addcontrollerswithview（选项=>
{
var policy=new AuthorizationPolicyBuilder（）
.RequireAuthenticatedUser（）文件
.Build（）；
options.Filters.Add（新的授权过滤器（策略））；
}).AddMicrosoftIdentityUI（）；
services.AddRazorPages（）.AddRazorRuntimeCompilation（）.AddMVCopions（选项=>
{
var policy=new AuthorizationPolicyBuilder（）
.RequireAuthenticatedUser（）文件
.Build（）；
options.Filters.Add（新的授权过滤器（策略））；
});
services.AddMvc（）；
//其他东西。。。
}

我已经尝试了很多天，试图找到解决这个问题的方法。我能赶上火车 错误，但我们无法通过编程方式采取任何措施来解决问题（ITokenAcquisition接口不提供强制交互式登录的选项）

我发现这仅仅是Razor Pages应用程序中的一个问题——一个基于控制器的MVC Web应用程序，具有几乎相同的启动代码，不会出现问题

我还发现，通过创建一个基于控制器的测试MVC Web应用程序，并将其配置为与我们遇到问题的应用程序相同的客户端id、租户id等，然后在主应用程序出现问题后立即启动它（在Visual Studio开发环境中），我每次都可以可靠地清除错误条件。然而，这显然不是一个可行的长期解决办法

我在每一个主要的技术论坛上都搜索过这个问题，并看到许多类似的问题被提出，但没有一个能提供这个精确问题的解决方案

复制：

创建ASP.NET Core 3.1 Web API

创建一个调用API的ASP.NET Core 3.1 Razor Pages Web应用程序

向Azure Active Directory注册，并配置应用程序以请求令牌访问API（根据各种MS文档）

运行-如果所有设置正确，登录屏幕将出现，所有设置都将正常工作

停止Web应用程序，等待几分钟，然后重新启动。现在将出现上面的错误

---

我提出了一个Microsoft对它的支持请求-有没有其他人遇到过这个问题并找到了解决方案？

我终于弄清了问题的真相，这主要是因为：

总结一下-对于其他有此问题的人：

在第一次调用web应用时，您没有登录，因此被重定向到Microsoft Identity Platform登录，该登录会让您登录并发出访问令牌

访问令牌通过回调存储在内存令牌缓存中

因为令牌在缓存中，所以所有这些都按预期工作

当您停止，然后在合理的短时间内重新启动web应用时，它会使用身份验证cookies来获取仍然是当前的登录，因此它不会访问Identity Platform，您也不会获得访问令牌

当您请求令牌时，缓存是空的-因此它抛出MsalUiRequiredException

在任何文档中都没有明确说明这是应该发生的，并且“AuthorizeForScopes”属性会检测到异常，但前提是您允许异常一直存在，并且不尝试处理它

另一个问题是，在Razor Pages应用程序中，每个页面的normal AuthorizeForScopes属性都必须位于模型类定义之上——如果遗漏了一个，则可能会触发上述问题

链接文章中“jasonshave”提出的解决方案通过用过滤器替换属性来解决这个问题，因此它将应用于所有页面

---

也许我有点老派，但使用未处理的异常作为计划的程序控制流的一部分的想法并不适合我——至少应该明确这是我的意图。无论如何-问题现在解决了。

我只是将应用程序所需的所有作用域放入

AuthorizeForScopes

过滤器中，而不必在应用程序中设置任何范围。当然，这可能会导致应用程序从一开始就向用户请求更多的权限，但在我的场景中，这并没有成为问题。

public void ConfigureServices(IServiceCollection services)
{
    services.AddDistributedMemoryCache();
    services.Configure<CookiePolicyOptions>(options =>
    {
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
        options.HandleSameSiteCookieCompatibility();
    });
    services.AddOptions();

    services.AddMicrosoftIdentityWebAppAuthentication(Configuration)
        .EnableTokenAcquisitionToCallDownstreamApi(new string[] { Configuration["Api:Scopes"] })
        .AddInMemoryTokenCaches();

    services.AddControllersWithViews(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new AuthorizeFilter(policy));
    }).AddMicrosoftIdentityUI();

    services.AddRazorPages().AddRazorRuntimeCompilation().AddMvcOptions(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new AuthorizeFilter(policy));
    });

    services.AddMvc();

    //Other stuff... 
}