带有 ASP.NET Core 3.1 Razor Pages 的 Microsoft Identity Platform 中的疑似错误

编程问答 2022-06-01

问题描述

我正在开发一个要托管在 Azure 应用服务环境中的应用程序,该环境由前端 Web 应用程序、后端 Web API 和 sql 数据库(使用 Azure sql)组成。前端 Web 应用程序是 Razor Pages 应用程序。我们正在尝试使用 Microsoft 身份平台(通过 Microsoft.Identity.Web 和 Microsoft.Identity.Web.UI 库)在需要时获取 API 的访问令牌。

它第一次运行得很好,但是一旦获取并缓存了令牌 - 如果应用程序重新启动,它就会失败并显示以下错误

IDW10502:由于对用户的挑战,引发了 MsalUirequiredException。见https://aka.ms/ms-id-web/ca_incremental-consent
未向 AcquiretokenSilent 调用传递帐户或登录提示

启动配置是(我已经尝试了各种变体):

public void ConfigureServices(IServiceCollection services)
{
    services.AdddistributedMemoryCache();
    services.Configure<CookiePolicyOptions>(options =>
    {
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
        options.HandleSameSiteCookieCompatibility();
    });
    services.AddOptions();

    services.AddMicrosoftIdentityWebAppAuthentication(Configuration)
        .EnabletokenAcquisitionToCallDownstreamApi(new string[] { Configuration["Api:Scopes"] })
        .AddInMemoryTokenCaches();

    services.AddControllersWithViews(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new Authorizefilter(policy));
    }).AddMicrosoftIdentityUI();

    services.AddRazorPages().AddRazorRuntimeCompilation().AddMvcoptions(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new Authorizefilter(policy));
    });

    services.AddMvc();

    //Other stuff... 
}

我已经尝试了很多天,试图找到解决此问题的解决方法。我能赶上 错误,但我们无法以编程方式采取似乎可以解决问题的任何操作(ITokenAcquisition 接口不提供强制交互式登录的选项)。

我发现这只是 Razor Pages 应用程序中的一个问题 - 基于控制器的 MVC Web 应用程序具有几乎相同的启动代码并没有出现该问题。

我还发现,通过创建基于控制器的测试 MVC Web 应用程序并使用与我们遇到问题的应用程序相同的客户端 ID、租户 ID 等配置它,然后启动它(在 Visual Studio 开发环境)一旦主应用程序出现问题,我每次都可以可靠地清除错误条件。然而,这显然不是一个可行的长期解决方案。

我在每个主要的技术论坛上搜索过这个问题,看到了许多类似的问题,但没有一个提供解决这个确切问题的方法

复制:

  1. 创建 ASP.NET Core 3.1 Web API。
  2. 创建一个调用 API 的 ASP.NET Core 3.1 Razor Pages Web 应用。
  3. 向 Azure Active Directory 注册并配置应用程序以请求令牌以访问 API(根据各种 MS 文档)。
  4. 运行 - 如果一切设置正确,登录屏幕将出现并且一切正常。
  5. 停止 Web 应用程序,等待几分钟,然后重新启动。现在将出现上述错误

我已经提出了 Microsoft 支持请求 - 有没有其他人遇到过这个问题并找到了解决方案?

解决方法

我终于搞清楚了,这主要归功于:https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/issues/216#issuecomment-560150172

总结 - 对于遇到此问题的其他人:

  1. 在第一次调用 Web 应用程序时,您未登录,因此被重定向到 Microsoft Identity Platform 登录名,该登录名让您登录并颁发访问令牌
  2. 访问令牌通过回调存储在内存中令牌缓存中。
  3. 然后一切都按预期工作,因为令牌在缓存中。
  4. 当您停止并在相当短的时间内重新启动 Web 应用程序时,它会使用身份验证 cookie 来获取当前的登录信息,因此它不会访问身份平台,而您没有获得访问令牌。
  5. 当您请求令牌时,缓存为空 - 因此它会抛出 MsalUiRequiredException。

任何文档中都没有明确说明这是应该发生的 - 并且该异常由“AuthorizeForScopes”属性拾取但前提是您允许异常一直下降通过,不要试图处理它

另一个问题是,在 Razor Pages 应用程序中,正常的 AuthorizeForScopes 属性必须高于每个页面的模型类定义 - 如果您错过了一个,则可能会触发上述问题。

“jasonshave”在链接文章中提出的解决方案通过用过滤器替换属性来解决该问题 - 因此它将适用于所有页面。

也许我有点老派,但将未处理的异常用作计划程序控制流的一部分的想法并不适合我 - 至少应该明确说明这是意图.无论如何 - 现在问题解决了。

access-tokenasp.net-coremicrosoft-identity-platformmsalrazor-pages