将 Owin.Security.ActiveDirectory 库与 AAD B2C 一起使用是否正确
Is it right way to use Owin.Security.ActiveDirectory library with AAD B2C
我们有两个应用程序通过 "New" 和 "Old" 门户在同一个 AAD B2C 租户中注册。
使用 "Old" 应用程序凭据进行身份验证工作正常。
使用 "New" 应用程序凭据 - 出现错误:
IDX10500: 签名验证失败。无法解析 SecurityKeyIdentifier:'SecurityKeyIdentifier
(
IsReadOnly = 假,
计数 = 1,
条款[0] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause
)
'
使用在 AAD B2C 租户中注册的应用程序使用 Microsoft.Owin.Security.ActiveDirector 库(保护 ASP.Net Web API)的正确方法吗?
P.S。我的问题是基于这个 post.
您只能通过 new Azure portal (portal.azure.com) 中的 Azure AD B2C blade 创建应用程序。
请勿使用经典 Azure 门户 (manage.windowsazure.com) 为 Azure AD B2C 创建应用程序。
如果你想保护 WebApp,你应该使用 Owin 的 OpenIdConnectAuthentication。本文档包含有关如何执行此操作的更多详细信息:Sign-Up & Sign-In in a ASP.NET Web App
如果你想保护 WebAPI,你应该使用 Owin 的 OAuthBearerAuthentication。本文档包含有关如何执行此操作的更多详细信息:Build a .NET web API
WebApp 的示例配置:
public void ConfigureAuth(IAppBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
// Generate the metadata address using the tenant and policy information
MetadataAddress = String.Format(AadInstance, Tenant, DefaultPolicy),
// These are standard OpenID Connect parameters, with values pulled from web.config
ClientId = ClientId,
RedirectUri = RedirectUri,
PostLogoutRedirectUri = RedirectUri,
// Specify the callbacks for each type of notifications
Notifications = new OpenIdConnectAuthenticationNotifications
{
RedirectToIdentityProvider = OnRedirectToIdentityProvider,
AuthorizationCodeReceived = OnAuthorizationCodeReceived,
AuthenticationFailed = OnAuthenticationFailed,
},
// Specify the claims to validate
TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name"
},
// Specify the scope by appending all of the scopes requested into one string (separated by a blank space)
Scope = $"{OpenIdConnectScopes.OpenId} {YourScope1} {YourScope2}"
}
);
}
Web 配置示例 API:
public void ConfigureAuth(IAppBuilder app)
{
TokenValidationParameters tvps = new TokenValidationParameters
{
// Accept only those tokens where the audience of the token is equal to the client ID of this app
ValidAudience = ClientId,
AuthenticationType = Startup.DefaultPolicy
};
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions
{
// This SecurityTokenProvider fetches the Azure AD B2C metadata & signing keys from the OpenIDConnect metadata endpoint
AccessTokenFormat = new JwtFormat(tvps, new OpenIdConnectCachingSecurityTokenProvider(String.Format(AadInstance, Tenant, DefaultPolicy)))
});
}
我们有两个应用程序通过 "New" 和 "Old" 门户在同一个 AAD B2C 租户中注册。
使用 "Old" 应用程序凭据进行身份验证工作正常。 使用 "New" 应用程序凭据 - 出现错误:
IDX10500: 签名验证失败。无法解析 SecurityKeyIdentifier:'SecurityKeyIdentifier ( IsReadOnly = 假, 计数 = 1, 条款[0] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause ) '
使用在 AAD B2C 租户中注册的应用程序使用 Microsoft.Owin.Security.ActiveDirector 库(保护 ASP.Net Web API)的正确方法吗?
P.S。我的问题是基于这个 post.
您只能通过 new Azure portal (portal.azure.com) 中的 Azure AD B2C blade 创建应用程序。
请勿使用经典 Azure 门户 (manage.windowsazure.com) 为 Azure AD B2C 创建应用程序。
如果你想保护 WebApp,你应该使用 Owin 的 OpenIdConnectAuthentication。本文档包含有关如何执行此操作的更多详细信息:Sign-Up & Sign-In in a ASP.NET Web App
如果你想保护 WebAPI,你应该使用 Owin 的 OAuthBearerAuthentication。本文档包含有关如何执行此操作的更多详细信息:Build a .NET web API
WebApp 的示例配置:
public void ConfigureAuth(IAppBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
// Generate the metadata address using the tenant and policy information
MetadataAddress = String.Format(AadInstance, Tenant, DefaultPolicy),
// These are standard OpenID Connect parameters, with values pulled from web.config
ClientId = ClientId,
RedirectUri = RedirectUri,
PostLogoutRedirectUri = RedirectUri,
// Specify the callbacks for each type of notifications
Notifications = new OpenIdConnectAuthenticationNotifications
{
RedirectToIdentityProvider = OnRedirectToIdentityProvider,
AuthorizationCodeReceived = OnAuthorizationCodeReceived,
AuthenticationFailed = OnAuthenticationFailed,
},
// Specify the claims to validate
TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name"
},
// Specify the scope by appending all of the scopes requested into one string (separated by a blank space)
Scope = $"{OpenIdConnectScopes.OpenId} {YourScope1} {YourScope2}"
}
);
}
Web 配置示例 API:
public void ConfigureAuth(IAppBuilder app)
{
TokenValidationParameters tvps = new TokenValidationParameters
{
// Accept only those tokens where the audience of the token is equal to the client ID of this app
ValidAudience = ClientId,
AuthenticationType = Startup.DefaultPolicy
};
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions
{
// This SecurityTokenProvider fetches the Azure AD B2C metadata & signing keys from the OpenIDConnect metadata endpoint
AccessTokenFormat = new JwtFormat(tvps, new OpenIdConnectCachingSecurityTokenProvider(String.Format(AadInstance, Tenant, DefaultPolicy)))
});
}