Fatal编程技术网

Azure active directory Blazor WASM调用Azure AAD安全函数API

azure-active-directory azure-functions

Azure active directory Blazor WASM调用Azure AAD安全函数API,azure-active-directory,azure-functions,msal,blazor-client-side,blazor-webassembly,Azure Active Directory,Azure Functions,Msal,Blazor Client Side,Blazor Webassembly,我有一个Azure函数API,它使用Azure Active Directory身份验证。我可以在以下过程中使用浏览器和curl调用进行本地测试和部署: 获取代码 使用代码获取令牌 传递令牌以进行身份验证并获取函数结果 我现在想从我的Blazor WASM应用程序调用这个API,但我确信必须有一个很好的MSAL调用来执行所有身份验证,但我找不到任何关于这可能是什么的文档 有没有人有代码片段来说明需要发生什么 进一步资料 My Azure Functions App和Blazor WASM cli

我有一个Azure函数API,它使用Azure Active Directory身份验证。我可以在以下过程中使用浏览器和curl调用进行本地测试和部署:

  • 获取代码
  • 使用代码获取令牌
  • 传递令牌以进行身份验证并获取函数结果
    • 我现在想从我的Blazor WASM应用程序调用这个API,但我确信必须有一个很好的MSAL调用来执行所有身份验证,但我找不到任何关于这可能是什么的文档

    有没有人有代码片段来说明需要发生什么

    进一步资料 My Azure Functions App和Blazor WASM client不是同一项目的一部分,它们托管在Azure
    hypotheticalapi.azurewebsites.net
    hypotheticalweb.azurewebsites.net
    的不同子域上

    web客户端应用程序注册具有API的API权限,并且API具有应用程序注册,该应用程序注册在客户端应用程序具有权限的范围内公开自身

    同样,API和Web应用程序可以单独工作。我只是无法让他们说话

    我一直在遵循“”文档,但经过几次尝试后,我不断返回错误:

    Microsoft.JSInterop.JSException: invalid_grant: AADSTS65001: The user or administrator has not consented to use the application with ID 'e40aabb0-8ed5-4833-b50d-ec7ca4e07996' named 'BallerinaBlazor5Wasm'. Send an interactive authorization request for this user and resource. Microsoft.JSInterop.JSException:无效的授权:AADSTS65001: 用户或管理员尚未同意使用ID为“e40aabb0-8ed5-4833-b50d-ec7ca4e07996”且名为“BallerinaBlazor5Wasm”的应用程序。 为此用户和资源发送交互式授权请求。 尽管我已经撤销/删除了客户端对API的权限,但它从未重复请求同意。我有没有办法澄清我之前的同意?不知道我该怎么做

    这似乎是相关的。

    至少您需要获取访问令牌,然后使用令牌调用函数api。在这种情况下,如果您只想在一个步骤中获得令牌,那么可以使用MSAL示例,按照左侧的每个部分完成先决条件

    以下是大致步骤(有关更多详细信息,您仍需要遵循上面的示例):

    一,。和

    二,

    三,

    在过去的两周里,我在同一个设置中遇到了相同的错误代码:Blazor正在与一个AAD安全的Azure功能应用程序交谈

    在我的案例中出现的问题是,在联系AAD标识提供者端点时,我在http请求中列出了作用域。我遇到的几乎所有示例都使用MicrosoftGraphAPI。这里,
    User.Read
    是作为示例给出的范围。我的第一个想法是,即使在联系自己的API时,我也必须在请求中包含
    User.Read
    作用域,因为我认为这个作用域是识别用户所必需的。但是,情况并非如此,在调用授权和令牌端点时,您必须列出的唯一作用域是您在AAD应用程序注册中的“Expose a API blade”下公开的作用域

    在我的示例中,我使用的是OAuth2授权代码,而不是隐式授权。确保在API注册清单中设置了
    “accessTokenAcceptedVersion”:2
    ,而不是
    “accessTokenAcceptedVersion”:null
    。就我所知,后者意味着使用隐式流

    我在API中公开的范围是
    API.Read
    。如果需要,您可以公开更多的作用域,但关键是您只要求公开的作用域

    我还有以下两个未勾选的选项(即无隐式流)。然而,我尝试选择“ID令牌”,它仍然有效。请注意,如果您允许Azure门户从功能应用验证刀片创建AAD应用注册,则默认情况下会选择“ID令牌”选项

    Blazor代码 Program.cs 必须添加此代码

            builder.Services.AddScoped<GraphAPIAuthorizationMessageHandler>();
        
        builder.Services.AddHttpClient("{NAME}", 
                client => client.BaseAddress = new Uri("https://your-azure-functions-url.net"))
            .AddHttpMessageHandler<GraphAPIAuthorizationMessageHandler>();

        builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
            .CreateClient("{NAME}"));

        builder.Services.AddMsalAuthentication(options =>
        {
            builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
            // NOTE: no "api://" when providing the scope
            options.ProviderOptions.DefaultAccessTokenScopes.Add("{you API application id}/{api exposed scope}");
        });
    }

    GraphAPIAuthorizationMessageHandler.cs 请注意,此类可以有不同的名称。然后还将在Program.cs中引用其他名称

    public class GraphAPIAuthorizationMessageHandler : AuthorizationMessageHandler
{
    public GraphAPIAuthorizationMessageHandler(IAccessTokenProvider provider,
        NavigationManager navigationManager)
        : base(provider, navigationManager)
    {
        ConfigureHandler(
            authorizedUrls: new[] { "https://your-azure-functions-url.net" },
            // NOTE: here with "api://"
            scopes: new[] { "api://{you API application id}/{api exposed scope}" });
    }
}
    我希望这能奏效。如果没有,请告诉我。

    我尝试过这个,但为了澄清我的客户端是Blazor Web Assembly应用程序,实际上是一个单页应用程序,不能相信它有秘密。
    AcquireTokenForClient()
    调用实际上返回一个错误,即平台不支持它。我已经为我的问题添加了更多信息。@phil如果是,您可能需要使用,它可以直接从
    /authorize
    端点msal sample Hi@phil获取令牌,我想知道你是否同时解决了这个问题,因为我也遇到了同样的问题。@Netis我一直想写一篇关于这个问题的博客,但是工作不允许,现在我已经忘记了我为让它工作所做的大部分事情。我记得的一件事是,我必须为作用域Uri使用
    api://
    表单。主机和域文本版本不起作用。 
    httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...
}

            builder.Services.AddScoped<GraphAPIAuthorizationMessageHandler>();
        
        builder.Services.AddHttpClient("{NAME}", 
                client => client.BaseAddress = new Uri("https://your-azure-functions-url.net"))
            .AddHttpMessageHandler<GraphAPIAuthorizationMessageHandler>();

        builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
            .CreateClient("{NAME}"));

        builder.Services.AddMsalAuthentication(options =>
        {
            builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
            // NOTE: no "api://" when providing the scope
            options.ProviderOptions.DefaultAccessTokenScopes.Add("{you API application id}/{api exposed scope}");
        });

    "AzureAd": {
"Authority": "https://login.microsoftonline.com/{aad tenant id}",
"ClientId": "{application id of your blazor wasm app}",
"ValidateAuthority": true

    public class GraphAPIAuthorizationMessageHandler : AuthorizationMessageHandler
{
    public GraphAPIAuthorizationMessageHandler(IAccessTokenProvider provider,
        NavigationManager navigationManager)
        : base(provider, navigationManager)
    {
        ConfigureHandler(
            authorizedUrls: new[] { "https://your-azure-functions-url.net" },
            // NOTE: here with "api://"
            scopes: new[] { "api://{you API application id}/{api exposed scope}" });
    }
}