Asp.net core 带有ASP.NET Core 3.1 Razor页面的Microsoft Identity Platform中存在可疑漏洞
我正在开发一个将托管在Azure App Services环境中的应用程序,该环境由前端Web应用程序、后端Web API和SQL数据库(使用Azure SQL)组成。前端Web应用程序是Razor Pages应用程序。我们正在尝试使用Microsoft Identity Platform(通过Microsoft.Identity.Web和Microsoft.Identity.Web.UI库)在需要时获取API的访问令牌 它在第一次运行时效果很好,但一旦获取并缓存了令牌-如果重新启动应用程序,则会出现以下错误: IDW10502:由于用户的质询,引发了MsalUiRequiredException。看Asp.net core 带有ASP.NET Core 3.1 Razor页面的Microsoft Identity Platform中存在可疑漏洞,asp.net-core,access-token,razor-pages,msal,microsoft-identity-platform,Asp.net Core,Access Token,Razor Pages,Msal,Microsoft Identity Platform,我正在开发一个将托管在Azure App Services环境中的应用程序,该环境由前端Web应用程序、后端Web API和SQL数据库(使用Azure SQL)组成。前端Web应用程序是Razor Pages应用程序。我们正在尝试使用Microsoft Identity Platform(通过Microsoft.Identity.Web和Microsoft.Identity.Web.UI库)在需要时获取API的访问令牌 它在第一次运行时效果很好,但一旦获取并缓存了令牌-如果重新启动应用程序,则
未向AcquireTokenSilent调用传递任何帐户或登录提示 启动配置是(我已经尝试了各种不同的版本):
public void配置服务(IServiceCollection服务)
{
AddDistributedMemoryCache();
配置(选项=>
{
options.checkApprovered=context=>true;
options.MinimumSameSitePolicy=SameSiteMode.Unspecified;
options.HandleSameSiteCookieCompatibility();
});
services.AddOptions();
services.AddMicrosoftIdentityWebAppAuthentication(配置)
.EnableTokenAcquisitionTollDownstreamAPI(新字符串[]{Configuration[“Api:Scopes”]})
.AddInMemoryTokenCaches();
services.addcontrollerswithview(选项=>
{
var policy=new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()文件
.Build();
options.Filters.Add(新的授权过滤器(策略));
}).AddMicrosoftIdentityUI();
services.AddRazorPages().AddRazorRuntimeCompilation().AddMVCopions(选项=>
{
var policy=new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()文件
.Build();
options.Filters.Add(新的授权过滤器(策略));
});
services.AddMvc();
//其他东西。。。
}
我已经尝试了很多天,试图找到解决这个问题的方法。我能赶上火车
错误,但我们无法通过编程方式采取任何措施来解决问题(ITokenAcquisition接口不提供强制交互式登录的选项)
我发现这仅仅是Razor Pages应用程序中的一个问题——一个基于控制器的MVC Web应用程序,具有几乎相同的启动代码,不会出现问题
我还发现,通过创建一个基于控制器的测试MVC Web应用程序,并将其配置为与我们遇到问题的应用程序相同的客户端id、租户id等,然后在主应用程序出现问题后立即启动它(在Visual Studio开发环境中),我每次都可以可靠地清除错误条件。然而,这显然不是一个可行的长期解决办法
我在每一个主要的技术论坛上都搜索过这个问题,并看到许多类似的问题被提出,但没有一个能提供这个精确问题的解决方案
复制:
我提出了一个Microsoft对它的支持请求-有没有其他人遇到过这个问题并找到了解决方案?我终于弄清了问题的真相,这主要是因为: 总结一下-对于其他有此问题的人:
也许我有点老派,但使用未处理的异常作为计划的程序控制流的一部分的想法并不适合我——至少应该明确这是我的意图。无论如何-问题现在解决了。我只是将应用程序所需的所有作用域放入
AuthorizeForScopes
过滤器中,而不必在应用程序中设置任何范围。当然,这可能会导致应用程序从一开始就向用户请求更多的权限,但在我的场景中,这并没有成为问题。
public void ConfigureServices(IServiceCollection services)
{
services.AddDistributedMemoryCache();
services.Configure<CookiePolicyOptions>(options =>
{
options.CheckConsentNeeded = context => true;
options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
options.HandleSameSiteCookieCompatibility();
});
services.AddOptions();
services.AddMicrosoftIdentityWebAppAuthentication(Configuration)
.EnableTokenAcquisitionToCallDownstreamApi(new string[] { Configuration["Api:Scopes"] })
.AddInMemoryTokenCaches();
services.AddControllersWithViews(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
}).AddMicrosoftIdentityUI();
services.AddRazorPages().AddRazorRuntimeCompilation().AddMvcOptions(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
});
services.AddMvc();
//Other stuff...
}