问题描述
我有一个受 Azure 身份验证保护的 ASP.NET Core 3.1 Web API 应用程序。我还有一个调用 Web API 的 Angular 11 应用程序。
它们在我们的集成环境中运行良好。但是在测试环境中认证失败。
Angular 应用程序使用 msal-angular 库进行了很好的身份验证,它获取访问令牌并在调用 Web API 时包含它。但是 Web API 无法从承载令牌中检索身份。
多次删除并重新创建(前端和后端)Azure APP 注册并重新配置它们后,身份验证仍然失败。我不知道是什么原因,所以这就是我需要诊断的原因。
我已启用 JwtBearerMiddlewareDiagnosticsEvents
,我可以在日志中看到“Begin OnAuthenticationFailedAsync”和“End OnAuthenticationFailedAsync”。但这还不够信息。它不再告诉您已引发事件,也没有其他信息。
我已阅读以下有关文档的文章,其中介绍了如何在 MSAL.NET 中配置日志记录,但我认为它不适用于 Web API。
https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-logging-dotnet
所以问题是:我如何找出身份验证失败的原因?有没有办法记录原因?
更新:
我更接近了,我将日志级别设置为跟踪,现在我在 asp.net core web api 应用程序的日志中看到以下内容:
IDX10511:签名验证失败。尝试过的键:'[PII 已隐藏。 有关更多详细信息,请参阅 https://aka.ms/IdentityModel/PII。]'。 \n孩子: '[PII 已隐藏。有关更多详细信息,请参阅 https://aka.ms/IdentityModel/PII。]
更新:
我收到以下错误:
承载未通过身份验证。失败消息:IDX10214:受众 验证失败。观众:'242e8f40-d795-43bc-8ac8-8eed3df71745'。 不匹配:validationParameters.ValidAudience: 'b99e89fc-8a1c-4605-8c18-796d7064037e' 或 validationParameters.ValidAudiences: 'null'。
'242e8f40-d795-43bc-8ac8-8eed3df71745' 是 Web API 应用注册清单上的 AppId。
'b99e89fc-8a1c-4605-8c18-796d7064037e'是web api注册的客户端id。
范围是'api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access'。
这是我设置范围的方式:
export function MSALInterceptorConfigFactory(): MsalInterceptorConfiguration {
const protectedResourceMap = new Map<string,Array<string>>();
protectedResourceMap.set('https://api.example.com/*',['api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access']);
return {
interactionType: InteractionType.Popup,protectedResourceMap
};
}
export function MSALGuardConfigFactory(): MsalGuardConfiguration {
return {
interactionType: InteractionType.Popup,authRequest: {
scopes: ['api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access']
},loginFailedRoute: '/login-Failed'
};
}
解决方法
您的问题已解决。问题是web api的配置有误。您需要再次创建它们并重新配置。
根据我的经验,需要在 Azure 中创建两个应用程序,一个代表 web api 应用程序,另一个代表客户端应用程序(即 Angular 11 应用程序)。
然后需要在Azure中暴露web api应用的api,并将Angular 11应用作为客户端应用添加到web api应用中。
最后,在请求访问令牌时,您需要将范围设置为:api://{web api client id}/{scope name}
。