问题描述
我有一个使用AzureB2C进行身份验证的ASP.NET Core WebApplication(REST API)。这是Startup.cs
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
services.AddAuthentication(AzureADB2CDefaults.BearerAuthenticationScheme)
.AddAzureADB2CBearer(options =>
{
options.Instance = "https://tenant.b2clogin.com/tfp/";
options.ClientId = "...";
options.Domain = "tenant.onmicrosoft.com";
options.SignUpSignInPolicyId = "B2C_1A_signup_signin";
});
}
public void Configure(IApplicationBuilder app,IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints => { endpoints.MapControllers(); });
}
}
为了支持自动测试中的身份验证,我确实尝试使用client credential
Flow,但是发现了it is not supported in AzureB2C。接下来,我遇到了ROPC Flow,建议将其作为替代(例如:here)。但是我无法使其正常工作。
如果我使用ROPC Flow收到令牌。
dynamic result = await $"https://{tenantName}.b2clogin.com"
.AppendpathSegment($"{tenantName}.onmicrosoft.com")
.AppendpathSegment("B2C_1_ROPC_Auth")
.AppendpathSegment("oauth2/v2.0/token")
.SetQueryParams(new
{
client_id,scope = $"6d1aa76b-10fb-47bb-bbec-5d7f7a4e08c4 openid offline_access",username,password,grant_type = "password",repsonse_type = "token id_token"
}
)
.PostAsync(new StringContent(""))
.ReceiveJson();
令牌看起来不错且有效。但是,如果我尝试使用它来验证对REST Api的调用,则会收到以下错误消息:
WWW认证 Bearer error =“ invalid_token”,error_description =“未找到签名密钥”
经过一番调查,似乎RestAPI试图使用我的B2C_1A_signup_signin
策略的众所周知的配置来验证KID。这是有道理的,因为它是AddAzureADB2CBearer
选项的一部分。如果我确实将策略更改为B2C_1_ROPC_Auth
,则令牌被接受。
但是我确实需要两个令牌都可以工作,即使用B2C_1A_signup_signin
流令牌和ROPC
流令牌创建的令牌。
如何配置我的应用程序以接受两种配置?
解决方法
如果仅通过无头身份验证访问此API,请使用Azure AD客户端凭据对其进行保护。您的Azure AD B2C包含一个Azure AD。请按照以下说明进行操作: https://docs.microsoft.com/en-us/azure/active-directory/develop/scenario-daemon-overview