从 static-file SPA 调用 Azure Function App
Calling Azure Function App from static-file SPA
答案:对于寻找此答案的任何人,我能够通过在 MSAL acquireToken 调用的范围内指定网络 API 来获得所需的令牌,如下所示:
let token = msal.acquireToken({
scopes: [ 'myFunctionApp.azurewebsites.net/user_impersonation' ]
})
完成此操作后,我将令牌用作身份验证中的 Bearer 令牌 header。除了调用 MS Graph 端点之外,我还可以使用它。我在这里一个安静的地方找到了这个信息:
非常感谢@StanleyGong 的协助,最终得出了答案。
/////
过去几天我一直在寻找如何有效保护从调用 Azure Function App 的 Azure Web App 提供的 Vue SPA。我为 Web 应用程序和函数应用程序都启用了 Easy Auth,我正在调用 /.auth/me 端点来获取一个 ID 令牌,我已经阅读过它可以用作不记名令牌。所以我正在做的是调用 /.auth/me 并使用返回的 id_token 创建授权 header,但在调用函数 app 时我仍然得到 401 Unauthorized。
代码从 /.auth/me 获取 id_token 并将其作为默认 header 添加到所有 Axios 调用(我确实认识到这需要刷新...我将在一个调用正常工作后创建所有逻辑):
let authUrl = '/.auth/me';
let response = await axios.get(authUrl);
let token = response.data[0].id_token;
axios.defaults.headers.common['Authorization'] = "Bearer " + token;
我可以在请求中的授权 header 中看到正在使用的令牌,它紧跟在上面的部分之后:
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Authorization: Bearer eyJ0eXAiO...
我看到了这个 post 并尝试使用其中的一些信息,包括 Chris Gillum 的博客 post(这很有帮助,但仍然没有让我到达那里):
关于如何让它工作有什么建议吗?我觉得我很接近,但我还不完全在那里。如果这不是解决问题的正确方法,任何建议也会有所帮助。
总的来说,我在身份识别方面非常缺乏经验,所以我一直在使用术语,而文档中的不一致对我没有帮助。
此外,有没有什么方法可以在不对每次更改都部署代码的情况下测试这些内容?如果代码不在 Web 应用程序服务器上,可以通过某种方式从商店获取令牌来测试这一点,这将是很棒的……我猜这是一厢情愿的想法,但只是想知道。
编辑:我刚刚意识到我读过的所有 post 都建议从 /.auth/me 返回访问令牌,但我没有得到。返回的 JSON 看起来像这样,这就是全部:
id_token: "eyJ0eXA...7_A"
provider_name: "aad"
user_claims: [{typ: "aud", val: "2...fa"},…]
user_id: "<<my email address>>"
另一项编辑:我发现我可以使用 MSAL 获取令牌,但它包含的信息与 /.auth/me 中的略有不同。使用任一令牌作为不记名令牌仍会导致 401。我确实注意到,在应用程序的 AAD 身份验证设置中,发行者 URL 是不同的。一个是 sts.windows.net,另一个是 login.windows.net。他们后面都有租户 ID。不确定这是否有所作为,但我尝试将它们设置为相同的值但没有帮助。
/.auth/me 令牌(当然是经过消毒的):
{
"aud": "2fe...fa", (AAD app id)
"iss": "https://sts.windows.net/<< AD tenant id >>/",
"iat": 15785xxx,
"nbf": 15785xxx,
"exp": 15785xxx,
"aio": "AVQAq/...UQ=",
"amr": [
"pwd",
"mfa"
],
"family_name": "<< my last name >>",
"given_name": "<< my first name >>",
"ipaddr": "<< my ip >>",
"name": "<< my full name >>",
"nonce": "e32a...48",
"oid": "a0...0e",
"sub": "LNu...8l8",
"tid": "f14...2ca",
"unique_name": "<< my email >>",
"upn": "<< my email >>",
"uti": "i9O...TAQ",
"ver": "1.0"
}
MSAL 访问令牌:
{
"aud": "000...000", (mostly 0s...not sure what this id is)
"iss": "https://sts.windows.net/<< AD tenant id >>",
"iat": 15785xxx,
"nbf": 15785xxx,
"exp": 15785xxx,
"acct": 0,
"acr": "1",
"aio": "AVQAq/8O...ZZ12s=", (different than above)
"amr": [
"pwd",
"mfa"
],
"app_displayname": "<< app name in AAD app registration >>",
"appid": "<< app GUID from AAD >>",
"appidacr": "0",
"family_name": "<< my last name >>",
"given_name": "<< my first name >>",
"ipaddr": "<< my ip >>",
"name": "<< my full name >>",
"oid": "a0...0e", (same as above)
"platf": "3",
"puid": "10...1B",
"scp": "User.Read profile openid email",
"signin_state": [
"kmsi"
],
"sub": "WuX...L3A",
"tid": "f14...2ca", (tenant id, same as above)
"unique_name": "<< my email >>",
"upn": "<< my email >>",
"uti": "UD...AA",
"ver": "1.0",
"xms_st": {
"sub": "LNu...8l8"
},
"xms_tcdt": 14...37
}
对于您的方案,您可以在租户中将 Azure AD 本机应用程序注册为客户端,以获取 access_token 作为 Bearer 令牌来调用您的 Azure 函数。如果您使用service-to-service调用,请参考。
如果你要登录用户,你也应该在你的租户中注册一个 Azure AD 应用程序,并使用额外的配置:
为该应用添加user_impersonation权限,以便用户可以登录您的应用并调用您的Azure函数(请在此处注明您的Azure函数应用ID,我们稍后将使用它):
添加此权限并授予它:
完成这些步骤后,您的新应用程序将能够让登录用户调用您的 Azure 功能。
我不确定您的 VUE 应用程序代码是什么样的,但这是一个 VUE adal sample,我的演示将基于它。
1. 下载代码并转到 src/main.js 将其内容替换为以下代码:
import Vue from 'vue'
import axios from 'axios'
import { default as Adal, AxiosAuthHttp } from 'vue-adal'
import App from './App.vue'
import router from './router'
Vue.config.productionTip = false
const functionBase = `<your Azure function URL>`
const functionResource = '<your Azure function application ID>'
Vue.use(Adal, {
config: {
tenant: '<your tenant ID>',
clientId: '<your new resistered app ID>',
redirectUri: '<redirect url you mapped in your new resgistered app ID, in this case it should be : http://localhost:8080>',
cacheLocation: 'localStorage'
},
requireAuthOnInitialize: true,
router: router
})
Vue.use({
install (vue, opts = {}) {
// Configures an axios http client with a interceptor to auto-acquire tokens
vue.prototype.$functionApi = AxiosAuthHttp.createNewClient({
// Required Params
axios: axios,
resourceId: functionResource, // Resource id to get a token against
// Optional Params
router: router, // Enables a router hook to auto-acquire a token for the specific resource
baseUrl: functionBase, // Base url to configure the client with
onTokenSuccess (http, context, token) { // Token success hook
// When an attempt to retrieve a token is successful, this will get called.
// This enables modification of the client after a successful call.
if (context.user) {
// Setup the client to talk with the Microsoft Graph API
http.defaults.baseURL = `${functionBase}`
console.log(token)
}
},
onTokenFailure (error) { // Token failure hook
// When an attempt to retrieve a token is not successful, this will get called.
console.log(error)
}
})
}
})
new Vue({
router,
render: h => h(App)
}).$mount('#app')
2。
转到 src/views/Home.vue ,将 <script> 部分的内容替换为以下代码:
<script>
// @ is an alias to /src
import HelloWorld from '@/components/HelloWorld.vue'
export default {
name: 'home',
components: {
HelloWorld
},
data () {
return {
msg: "Signing in..."
}
},
async created () {
if (this.$adal.isAuthenticated()) {
this.msg = "Hello, " + this.$adal.user.profile.name
let functionInfo = await this.getAzureFunctionInfo()
this.msg += " | function result : " + functionInfo
} else {
this.msg = "Please sign in"
}
},
methods: {
async getAzureFunctionInfo () {
let res = await this.$functionApi.get('',{
params: {
'name': 'test'
}
})
console.log(res)
return res.data
}
}
}
</script>
我们来测试一下结果:
由于此项目将 运行 在本地,您应该转到您的 Azure 功能 => 平台功能 => 所有设置以启用所有 cors 请求,以便您可以从静态 vue 项目在本地测试您的功能:
我的函数逻辑很简单,如果你用参数调用它,它会回复一个你好响应:
运行 项目,并在私人浏览器中打开它 window by url : http://localhost:8080
您将被要求登录,您可以看到它可以成功调用 Azure 函数:
我认为这就是您正在寻找的答案。
更新:
根据您的代码,您正在使用 Azure AD V2 登录用户,请:
1)按照第二种方案重新创建一个Azure广告应用程序并完成权限授予过程,以便它可以登录用户并访问您的Azure功能。
2) 在您的 Azure AD 中,按名称找到代表您的 Azure 函数应用程序的 Azure AD 应用程序(我的 Azure 函数名称是 :stanfuntest ):
在此处复制范围:
2) 在您的 VUE 代码中,使用此应用程序 ID 作为登录用户的客户端 ID,修改代码以获取您刚刚找到的范围内的访问令牌:
let token = msal.acquireToken( { scopes: [ 'https://stanfuntest.azurewebsites.net/user_impersonation' ] } )
希望对您有所帮助。
答案:对于寻找此答案的任何人,我能够通过在 MSAL acquireToken 调用的范围内指定网络 API 来获得所需的令牌,如下所示:
let token = msal.acquireToken({
scopes: [ 'myFunctionApp.azurewebsites.net/user_impersonation' ]
})
完成此操作后,我将令牌用作身份验证中的 Bearer 令牌 header。除了调用 MS Graph 端点之外,我还可以使用它。我在这里一个安静的地方找到了这个信息:
非常感谢@StanleyGong 的协助,最终得出了答案。
/////
过去几天我一直在寻找如何有效保护从调用 Azure Function App 的 Azure Web App 提供的 Vue SPA。我为 Web 应用程序和函数应用程序都启用了 Easy Auth,我正在调用 /.auth/me 端点来获取一个 ID 令牌,我已经阅读过它可以用作不记名令牌。所以我正在做的是调用 /.auth/me 并使用返回的 id_token 创建授权 header,但在调用函数 app 时我仍然得到 401 Unauthorized。
代码从 /.auth/me 获取 id_token 并将其作为默认 header 添加到所有 Axios 调用(我确实认识到这需要刷新...我将在一个调用正常工作后创建所有逻辑):
let authUrl = '/.auth/me';
let response = await axios.get(authUrl);
let token = response.data[0].id_token;
axios.defaults.headers.common['Authorization'] = "Bearer " + token;
我可以在请求中的授权 header 中看到正在使用的令牌,它紧跟在上面的部分之后:
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Authorization: Bearer eyJ0eXAiO...
我看到了这个 post 并尝试使用其中的一些信息,包括 Chris Gillum 的博客 post(这很有帮助,但仍然没有让我到达那里):
关于如何让它工作有什么建议吗?我觉得我很接近,但我还不完全在那里。如果这不是解决问题的正确方法,任何建议也会有所帮助。
总的来说,我在身份识别方面非常缺乏经验,所以我一直在使用术语,而文档中的不一致对我没有帮助。
此外,有没有什么方法可以在不对每次更改都部署代码的情况下测试这些内容?如果代码不在 Web 应用程序服务器上,可以通过某种方式从商店获取令牌来测试这一点,这将是很棒的……我猜这是一厢情愿的想法,但只是想知道。
编辑:我刚刚意识到我读过的所有 post 都建议从 /.auth/me 返回访问令牌,但我没有得到。返回的 JSON 看起来像这样,这就是全部:
id_token: "eyJ0eXA...7_A"
provider_name: "aad"
user_claims: [{typ: "aud", val: "2...fa"},…]
user_id: "<<my email address>>"
另一项编辑:我发现我可以使用 MSAL 获取令牌,但它包含的信息与 /.auth/me 中的略有不同。使用任一令牌作为不记名令牌仍会导致 401。我确实注意到,在应用程序的 AAD 身份验证设置中,发行者 URL 是不同的。一个是 sts.windows.net,另一个是 login.windows.net。他们后面都有租户 ID。不确定这是否有所作为,但我尝试将它们设置为相同的值但没有帮助。
/.auth/me 令牌(当然是经过消毒的):
{
"aud": "2fe...fa", (AAD app id)
"iss": "https://sts.windows.net/<< AD tenant id >>/",
"iat": 15785xxx,
"nbf": 15785xxx,
"exp": 15785xxx,
"aio": "AVQAq/...UQ=",
"amr": [
"pwd",
"mfa"
],
"family_name": "<< my last name >>",
"given_name": "<< my first name >>",
"ipaddr": "<< my ip >>",
"name": "<< my full name >>",
"nonce": "e32a...48",
"oid": "a0...0e",
"sub": "LNu...8l8",
"tid": "f14...2ca",
"unique_name": "<< my email >>",
"upn": "<< my email >>",
"uti": "i9O...TAQ",
"ver": "1.0"
}
MSAL 访问令牌:
{
"aud": "000...000", (mostly 0s...not sure what this id is)
"iss": "https://sts.windows.net/<< AD tenant id >>",
"iat": 15785xxx,
"nbf": 15785xxx,
"exp": 15785xxx,
"acct": 0,
"acr": "1",
"aio": "AVQAq/8O...ZZ12s=", (different than above)
"amr": [
"pwd",
"mfa"
],
"app_displayname": "<< app name in AAD app registration >>",
"appid": "<< app GUID from AAD >>",
"appidacr": "0",
"family_name": "<< my last name >>",
"given_name": "<< my first name >>",
"ipaddr": "<< my ip >>",
"name": "<< my full name >>",
"oid": "a0...0e", (same as above)
"platf": "3",
"puid": "10...1B",
"scp": "User.Read profile openid email",
"signin_state": [
"kmsi"
],
"sub": "WuX...L3A",
"tid": "f14...2ca", (tenant id, same as above)
"unique_name": "<< my email >>",
"upn": "<< my email >>",
"uti": "UD...AA",
"ver": "1.0",
"xms_st": {
"sub": "LNu...8l8"
},
"xms_tcdt": 14...37
}
对于您的方案,您可以在租户中将 Azure AD 本机应用程序注册为客户端,以获取 access_token 作为 Bearer 令牌来调用您的 Azure 函数。如果您使用service-to-service调用,请参考
如果你要登录用户,你也应该在你的租户中注册一个 Azure AD 应用程序,并使用额外的配置:
完成这些步骤后,您的新应用程序将能够让登录用户调用您的 Azure 功能。
我不确定您的 VUE 应用程序代码是什么样的,但这是一个 VUE adal sample,我的演示将基于它。
1. 下载代码并转到 src/main.js 将其内容替换为以下代码:
import Vue from 'vue'
import axios from 'axios'
import { default as Adal, AxiosAuthHttp } from 'vue-adal'
import App from './App.vue'
import router from './router'
Vue.config.productionTip = false
const functionBase = `<your Azure function URL>`
const functionResource = '<your Azure function application ID>'
Vue.use(Adal, {
config: {
tenant: '<your tenant ID>',
clientId: '<your new resistered app ID>',
redirectUri: '<redirect url you mapped in your new resgistered app ID, in this case it should be : http://localhost:8080>',
cacheLocation: 'localStorage'
},
requireAuthOnInitialize: true,
router: router
})
Vue.use({
install (vue, opts = {}) {
// Configures an axios http client with a interceptor to auto-acquire tokens
vue.prototype.$functionApi = AxiosAuthHttp.createNewClient({
// Required Params
axios: axios,
resourceId: functionResource, // Resource id to get a token against
// Optional Params
router: router, // Enables a router hook to auto-acquire a token for the specific resource
baseUrl: functionBase, // Base url to configure the client with
onTokenSuccess (http, context, token) { // Token success hook
// When an attempt to retrieve a token is successful, this will get called.
// This enables modification of the client after a successful call.
if (context.user) {
// Setup the client to talk with the Microsoft Graph API
http.defaults.baseURL = `${functionBase}`
console.log(token)
}
},
onTokenFailure (error) { // Token failure hook
// When an attempt to retrieve a token is not successful, this will get called.
console.log(error)
}
})
}
})
new Vue({
router,
render: h => h(App)
}).$mount('#app')
2。
转到 src/views/Home.vue ,将 <script> 部分的内容替换为以下代码:
<script>
// @ is an alias to /src
import HelloWorld from '@/components/HelloWorld.vue'
export default {
name: 'home',
components: {
HelloWorld
},
data () {
return {
msg: "Signing in..."
}
},
async created () {
if (this.$adal.isAuthenticated()) {
this.msg = "Hello, " + this.$adal.user.profile.name
let functionInfo = await this.getAzureFunctionInfo()
this.msg += " | function result : " + functionInfo
} else {
this.msg = "Please sign in"
}
},
methods: {
async getAzureFunctionInfo () {
let res = await this.$functionApi.get('',{
params: {
'name': 'test'
}
})
console.log(res)
return res.data
}
}
}
</script>
我们来测试一下结果:
由于此项目将 运行 在本地,您应该转到您的 Azure 功能 => 平台功能 => 所有设置以启用所有 cors 请求,以便您可以从静态 vue 项目在本地测试您的功能:
我的函数逻辑很简单,如果你用参数调用它,它会回复一个你好响应:
运行 项目,并在私人浏览器中打开它 window by url : http://localhost:8080
您将被要求登录,您可以看到它可以成功调用 Azure 函数:
我认为这就是您正在寻找的答案。
更新:
根据您的代码,您正在使用 Azure AD V2 登录用户,请:
1)按照第二种方案重新创建一个Azure广告应用程序并完成权限授予过程,以便它可以登录用户并访问您的Azure功能。
2) 在您的 Azure AD 中,按名称找到代表您的 Azure 函数应用程序的 Azure AD 应用程序(我的 Azure 函数名称是 :stanfuntest ):
在此处复制范围:
2) 在您的 VUE 代码中,使用此应用程序 ID 作为登录用户的客户端 ID,修改代码以获取您刚刚找到的范围内的访问令牌:
let token = msal.acquireToken( { scopes: [ 'https://stanfuntest.azurewebsites.net/user_impersonation' ] } )
希望对您有所帮助。