令牌无效时受保护的网络调用
Protected web calls when token is not valid
我使用.NET Core 3
下载了 Microsoft.Identity.Web
我使用 Azure AD 访问我受保护的网站 API。最近我切换到出现问题的 Core 3.0(在 2.2 上它工作正常)。
目前,当我尝试使用无效令牌调用网络 api 时,我进入了
JwtBearerMiddlewareDiagnosticsclass方法
private static async Task OnAuthenticationFailedAsync(AuthenticationFailedContext context)
{
Debug.WriteLine($"99. Begin {nameof(OnAuthenticationFailedAsync)}");
// Place a breakpoint here and examine context.Exception
await s_onAuthenticationFailed(context).ConfigureAwait(false);
Debug.WriteLine($"99. End - {nameof(OnAuthenticationFailedAsync)}");
}
完全正确,因为令牌无效。但在那之后我的受保护控制器方法仍然调用(我通过添加 header 和 Bearer 和令牌从邮递员调用它们)。
这是我的控制器:
[Route("api/Points")]
[ApiController]
[Authorize(AuthenticationSchemes = "AzureAD")]
public class InstallationPointController : ControllerBase
{
...
}
在 Startup.cs 中设置 AD 授权:
services.AddProtectedWebApi(Configuration,subscribeToJwtBearerMiddlewareDiagnosticsEvents:true)
.AddProtectedApiCallsWebApis(Configuration, new []{ "user.read", "offline_access" }).AddInMemoryTokenCaches();
更新
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();
app.UseRouting();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
你的中间件顺序错了。路由需要在身份验证和授权之前。
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
通过观察,我注意到您正在使用方案值 AzureAD。目前,Microsoft.Identity.Web 使用 OpenIdConnectDefaults.AuthenticationScheme 作为默认方案(其值是 OpenIdConnect)。
如果想和Microsoft.Identity.Web使用不同的scheme名称,可以使用以下方法:
services.AddAuthentication("MyScheme")
.AddSignIn(Configuration);
我使用.NET Core 3
下载了 Microsoft.Identity.Web我使用 Azure AD 访问我受保护的网站 API。最近我切换到出现问题的 Core 3.0(在 2.2 上它工作正常)。
目前,当我尝试使用无效令牌调用网络 api 时,我进入了
JwtBearerMiddlewareDiagnosticsclass方法
private static async Task OnAuthenticationFailedAsync(AuthenticationFailedContext context)
{
Debug.WriteLine($"99. Begin {nameof(OnAuthenticationFailedAsync)}");
// Place a breakpoint here and examine context.Exception
await s_onAuthenticationFailed(context).ConfigureAwait(false);
Debug.WriteLine($"99. End - {nameof(OnAuthenticationFailedAsync)}");
}
完全正确,因为令牌无效。但在那之后我的受保护控制器方法仍然调用(我通过添加 header 和 Bearer 和令牌从邮递员调用它们)。 这是我的控制器:
[Route("api/Points")]
[ApiController]
[Authorize(AuthenticationSchemes = "AzureAD")]
public class InstallationPointController : ControllerBase
{
...
}
在 Startup.cs 中设置 AD 授权:
services.AddProtectedWebApi(Configuration,subscribeToJwtBearerMiddlewareDiagnosticsEvents:true)
.AddProtectedApiCallsWebApis(Configuration, new []{ "user.read", "offline_access" }).AddInMemoryTokenCaches();
更新
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();
app.UseRouting();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
你的中间件顺序错了。路由需要在身份验证和授权之前。
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
通过观察,我注意到您正在使用方案值 AzureAD。目前,Microsoft.Identity.Web 使用 OpenIdConnectDefaults.AuthenticationScheme 作为默认方案(其值是 OpenIdConnect)。
如果想和Microsoft.Identity.Web使用不同的scheme名称,可以使用以下方法:
services.AddAuthentication("MyScheme")
.AddSignIn(Configuration);