Azure active directory Blazor WASM调用Azure AAD安全函数API
我有一个Azure函数API,它使用Azure Active Directory身份验证。我可以在以下过程中使用浏览器和curl调用进行本地测试和部署:Azure active directory Blazor WASM调用Azure AAD安全函数API,azure-active-directory,azure-functions,msal,blazor-client-side,blazor-webassembly,Azure Active Directory,Azure Functions,Msal,Blazor Client Side,Blazor Webassembly,我有一个Azure函数API,它使用Azure Active Directory身份验证。我可以在以下过程中使用浏览器和curl调用进行本地测试和部署: 获取代码 使用代码获取令牌 传递令牌以进行身份验证并获取函数结果 我现在想从我的Blazor WASM应用程序调用这个API,但我确信必须有一个很好的MSAL调用来执行所有身份验证,但我找不到任何关于这可能是什么的文档 有没有人有代码片段来说明需要发生什么 进一步资料 My Azure Functions App和Blazor WASM cli
hypotheticalapi.azurewebsites.net
和hypotheticalweb.azurewebsites.net
的不同子域上
web客户端应用程序注册具有API的API权限,并且API具有应用程序注册,该应用程序注册在客户端应用程序具有权限的范围内公开自身
同样,API和Web应用程序可以单独工作。我只是无法让他们说话
我一直在遵循“”文档,但经过几次尝试后,我不断返回错误:
Microsoft.JSInterop.JSException: invalid_grant: AADSTS65001:
The user or administrator has not consented to use the application with ID 'e40aabb0-8ed5-4833-b50d-ec7ca4e07996' named 'BallerinaBlazor5Wasm'.
Send an interactive authorization request for this user and resource.
Microsoft.JSInterop.JSException:无效的授权:AADSTS65001:
用户或管理员尚未同意使用ID为“e40aabb0-8ed5-4833-b50d-ec7ca4e07996”且名为“BallerinaBlazor5Wasm”的应用程序。
为此用户和资源发送交互式授权请求。
尽管我已经撤销/删除了客户端对API的权限,但它从未重复请求同意。我有没有办法澄清我之前的同意?不知道我该怎么做
这似乎是相关的。至少您需要获取访问令牌,然后使用令牌调用函数api。在这种情况下,如果您只想在一个步骤中获得令牌,那么可以使用MSAL示例,按照左侧的每个部分完成先决条件 以下是大致步骤(有关更多详细信息,您仍需要遵循上面的示例): 一,。和 二, 三,
在过去的两周里,我在同一个设置中遇到了相同的错误代码:Blazor正在与一个AAD安全的Azure功能应用程序交谈 在我的案例中出现的问题是,在联系AAD标识提供者端点时,我在http请求中列出了作用域。我遇到的几乎所有示例都使用MicrosoftGraphAPI。这里,
User.Read
是作为示例给出的范围。我的第一个想法是,即使在联系自己的API时,我也必须在请求中包含User.Read
作用域,因为我认为这个作用域是识别用户所必需的。但是,情况并非如此,在调用授权和令牌端点时,您必须列出的唯一作用域是您在AAD应用程序注册中的“Expose a API blade”下公开的作用域
在我的示例中,我使用的是OAuth2授权代码,而不是隐式授权。确保在API注册清单中设置了“accessTokenAcceptedVersion”:2
,而不是“accessTokenAcceptedVersion”:null
。就我所知,后者意味着使用隐式流
我在API中公开的范围是API.Read
。如果需要,您可以公开更多的作用域,但关键是您只要求公开的作用域
我还有以下两个未勾选的选项(即无隐式流)。然而,我尝试选择“ID令牌”,它仍然有效。请注意,如果您允许Azure门户从功能应用验证刀片创建AAD应用注册,则默认情况下会选择“ID令牌”选项
Blazor代码
Program.cs
必须添加此代码
builder.Services.AddScoped<GraphAPIAuthorizationMessageHandler>();
builder.Services.AddHttpClient("{NAME}",
client => client.BaseAddress = new Uri("https://your-azure-functions-url.net"))
.AddHttpMessageHandler<GraphAPIAuthorizationMessageHandler>();
builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
.CreateClient("{NAME}"));
builder.Services.AddMsalAuthentication(options =>
{
builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
// NOTE: no "api://" when providing the scope
options.ProviderOptions.DefaultAccessTokenScopes.Add("{you API application id}/{api exposed scope}");
});
}
GraphAPIAuthorizationMessageHandler.cs
请注意,此类可以有不同的名称。然后还将在Program.cs中引用其他名称
public class GraphAPIAuthorizationMessageHandler : AuthorizationMessageHandler
{
public GraphAPIAuthorizationMessageHandler(IAccessTokenProvider provider,
NavigationManager navigationManager)
: base(provider, navigationManager)
{
ConfigureHandler(
authorizedUrls: new[] { "https://your-azure-functions-url.net" },
// NOTE: here with "api://"
scopes: new[] { "api://{you API application id}/{api exposed scope}" });
}
}
我希望这能奏效。如果没有,请告诉我。我尝试过这个,但为了澄清我的客户端是Blazor Web Assembly应用程序,实际上是一个单页应用程序,不能相信它有秘密。
AcquireTokenForClient()
调用实际上返回一个错误,即平台不支持它。我已经为我的问题添加了更多信息。@phil如果是,您可能需要使用,它可以直接从/authorize
端点msal sample Hi@phil获取令牌,我想知道你是否同时解决了这个问题,因为我也遇到了同样的问题。@Netis我一直想写一篇关于这个问题的博客,但是工作不允许,现在我已经忘记了我为让它工作所做的大部分事情。我记得的一件事是,我必须为作用域Uri使用api://
表单。主机和域文本版本不起作用。
httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);
// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...
}
builder.Services.AddScoped<GraphAPIAuthorizationMessageHandler>();
builder.Services.AddHttpClient("{NAME}",
client => client.BaseAddress = new Uri("https://your-azure-functions-url.net"))
.AddHttpMessageHandler<GraphAPIAuthorizationMessageHandler>();
builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
.CreateClient("{NAME}"));
builder.Services.AddMsalAuthentication(options =>
{
builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
// NOTE: no "api://" when providing the scope
options.ProviderOptions.DefaultAccessTokenScopes.Add("{you API application id}/{api exposed scope}");
});
"AzureAd": {
"Authority": "https://login.microsoftonline.com/{aad tenant id}",
"ClientId": "{application id of your blazor wasm app}",
"ValidateAuthority": true
public class GraphAPIAuthorizationMessageHandler : AuthorizationMessageHandler
{
public GraphAPIAuthorizationMessageHandler(IAccessTokenProvider provider,
NavigationManager navigationManager)
: base(provider, navigationManager)
{
ConfigureHandler(
authorizedUrls: new[] { "https://your-azure-functions-url.net" },
// NOTE: here with "api://"
scopes: new[] { "api://{you API application id}/{api exposed scope}" });
}
}