Zabezpieczanie autonomicznej aplikacji ASP.NET Core Blazor WebAssembly przy użyciu biblioteki uwierzytelniania
Uwaga
Nie jest to najnowsza wersja tego artykułu. Aby zapoznać się z bieżącą wersją, zobacz wersję tego artykułu platformy .NET 9.
Ważne
Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany, zanim zostanie wydany komercyjnie. Firma Microsoft nie udziela żadnych gwarancji, jawnych lub domniemanych, w odniesieniu do informacji podanych w tym miejscu.
Aby zapoznać się z bieżącą wersją, zobacz wersję tego artykułu platformy .NET 9.
W tym artykule wyjaśniono, jak zabezpieczyć autonomiczną aplikację platformy ASP.NET Core Blazor WebAssembly przy użyciu biblioteki Blazor WebAssembly uwierzytelniania.
Biblioteka Blazor WebAssembly uwierzytelniania (Authentication.js
) obsługuje tylko przepływ kodu autoryzacji PKCE (Proof Key for Code Exchange) za pośrednictwem biblioteki Microsoft Authentication Library (MSAL, msal.js
). Aby zaimplementować inne przepływy udzielania, uzyskaj dostęp do wskazówek biblioteki MSAL w celu bezpośredniego zaimplementowania biblioteki MSAL, ale nie obsługujemy ani nie zalecamy używania przepływów udzielania innych niż PKCE dla Blazor aplikacji.
W przypadku wskazówek dotyczących usługi Microsoft Entra (ME-ID) i Azure Active Directory B2C (AAD B2C) nie postępuj zgodnie ze wskazówkami w tym temacie. Zobacz Zabezpieczanie autonomicznej aplikacji ASP.NET Core Blazor WebAssembly przy użyciu identyfikatora Entra firmy Microsoft lub Zabezpieczanie autonomicznej aplikacji ASP.NET Core Blazor WebAssembly za pomocą usługi Azure Active Directory B2C.
Aby uzyskać dodatkowe pokrycie scenariuszy zabezpieczeń po przeczytaniu tego artykułu, zobacz ASP.NET Core Blazor WebAssembly dodatkowe scenariusze zabezpieczeń.
Przewodnik
Podsekcje przewodnika wyjaśniają, jak:
- Rejestracja aplikacji
- Blazor Tworzenie aplikacji
- Uruchom aplikację
Rejestracja aplikacji
Zarejestruj aplikację za pomocą dostawcy OpenID Connect (OIDC)Identity zgodnie ze wskazówkami dostarczonymi przez konserwatora adresu IP.
Zarejestruj następujące informacje:
- Urząd (na przykład
https://accounts.google.com/
). - Identyfikator aplikacji (klienta) (na przykład
2...7-e...q.apps.googleusercontent.com
). - Dodatkowa konfiguracja adresu IP (zobacz dokumentację adresu IP).
Uwaga
Adres IP musi używać identyfikatora OIDC. Na przykład adres IP serwisu Facebook nie jest dostawcą zgodnym ze standardem OIDC, więc wskazówki zawarte w tym temacie nie działają z adresem IP serwisu Facebook. Aby uzyskać więcej informacji, zobacz Secure ASP.NET Core Blazor WebAssembly.
Blazor Tworzenie aplikacji
Aby utworzyć autonomiczną Blazor WebAssembly aplikację korzystającą z Microsoft.AspNetCore.Components.WebAssembly.Authentication
biblioteki, postępuj zgodnie ze wskazówkami dotyczącymi wyboru narzędzi. Jeśli dodano obsługę uwierzytelniania, zobacz sekcję Części aplikacji w tym artykule, aby uzyskać wskazówki dotyczące konfigurowania i konfigurowania aplikacji.
Aby utworzyć nowy Blazor WebAssembly projekt z mechanizmem uwierzytelniania:
Po wybraniu szablonu Aplikacja ustaw typ uwierzytelniania na Indywidualne konta. Blazor WebAssembly
Po wybraniu szablonu Aplikacja ustaw typ uwierzytelniania na Indywidualne konta. Blazor WebAssembly Upewnij się, że pole wyboru ASP.NET Core Hosted nie jest zaznaczone.
Wybór Indywidualne konta używa systemu ASP.NET Core Identity . Ten wybór dodaje obsługę uwierzytelniania i nie powoduje przechowywania użytkowników w bazie danych. Poniższe sekcje tego artykułu zawierają więcej szczegółów.
Konfigurowanie aplikacji
Skonfiguruj aplikację zgodnie ze wskazówkami dotyczącymi adresu IP. Aplikacja wymaga Local:Authority
co najmniej ustawień konfiguracji i Local:ClientId
w pliku aplikacji wwwroot/appsettings.json
:
{
"Local": {
"Authority": "{AUTHORITY}",
"ClientId": "{CLIENT ID}"
}
}
Przykład OIDC protokołu Google OAuth 2.0 dla aplikacji działającej na adresie localhost
na porcie 5001:
{
"Local": {
"Authority": "https://accounts.google.com/",
"ClientId": "2...7-e...q.apps.googleusercontent.com",
"PostLogoutRedirectUri": "https://localhost:5001/authentication/logout-callback",
"RedirectUri": "https://localhost:5001/authentication/login-callback",
"ResponseType": "code"
}
}
Identyfikator URI przekierowania (https://localhost:5001/authentication/login-callback
) jest zarejestrowany w konsoli interfejsów API Google w obszarze Poświadczenia{NAME}
>>autoryzowane identyfikatory URI przekierowania, gdzie {NAME}
jest nazwą klienta aplikacji na liście identyfikatorów klienta OAuth 2.0 w konsoli interfejsów API Google.
Uwaga
Podanie numeru portu dla identyfikatora localhost
URI przekierowania nie jest wymagane dla niektórych adresów IP OIDC zgodnie ze specyfikacją protokołu OAuth 2.0. Niektóre adresy IP zezwalają na identyfikator URI przekierowania dla adresów sprzężenia zwrotnego w celu pominięcia portu. Inne zezwalają na użycie symbolu wieloznakowego dla numeru portu (na przykład *
). Aby uzyskać dodatkowe informacje, zobacz dokumentację adresu IP.
Uruchom aplikację
Aby uruchomić aplikację, użyj jednej z następujących metod:
- Visual Studio
- Wybierz przycisk Run (Uruchom).
- Użyj polecenia Debuguj>Rozpocznij debugowanie z menu.
- Naciśnij klawisz F5.
- Powłoka poleceń interfejsu
dotnet watch
wiersza polecenia platformy .NET: wykonaj polecenie (lubdotnet run
) z folderu aplikacji.
Części aplikacji
W tej sekcji opisano części aplikacji wygenerowane na Blazor WebAssembly podstawie szablonu projektu i sposób konfigurowania aplikacji. Nie ma konkretnych wskazówek, które należy wykonać w tej sekcji dla podstawowej aplikacji roboczej, jeśli aplikacja została utworzona przy użyciu wskazówek w sekcji Przewodnik . Wskazówki zawarte w tej sekcji są przydatne podczas aktualizowania aplikacji w celu uwierzytelniania i autoryzowania użytkowników. Jednak alternatywnym podejściem do aktualizowania aplikacji jest utworzenie nowej aplikacji na podstawie wskazówek w sekcji Przewodnik i przeniesienie składników, klas i zasobów aplikacji do nowej aplikacji.
Pakiet uwierzytelniania
Po utworzeniu aplikacji w celu korzystania z indywidualnych kont użytkowników aplikacja automatycznie otrzymuje odwołanie do Microsoft.AspNetCore.Components.WebAssembly.Authentication
pakietu. Pakiet zawiera zestaw elementów pierwotnych, które ułatwiają aplikacji uwierzytelnianie użytkowników i uzyskiwanie tokenów w celu wywoływania chronionych interfejsów API.
W przypadku dodawania uwierzytelniania do aplikacji ręcznie dodaj Microsoft.AspNetCore.Components.WebAssembly.Authentication
pakiet do aplikacji.
Uwaga
Aby uzyskać instrukcje dodawania pakietów do aplikacji .NET, zobacz artykuły w sekcji Instalowanie pakietów i zarządzanie nimi w temacie Przepływ pracy użycia pakietów (dokumentacja programu NuGet). Sprawdź prawidłowe wersje pakietów pod adresem NuGet.org.
Obsługa usługi uwierzytelniania
Obsługa uwierzytelniania użytkowników przy użyciu protokołu OpenID Connect (OIDC) jest rejestrowana w kontenerze usługi przy AddOidcAuthentication użyciu metody rozszerzenia dostarczonej Microsoft.AspNetCore.Components.WebAssembly.Authentication
przez pakiet.
Metoda AddOidcAuthentication akceptuje wywołanie zwrotne w celu skonfigurowania parametrów wymaganych do uwierzytelniania aplikacji przy użyciu funkcji OIDC. Wartości wymagane do skonfigurowania aplikacji można uzyskać z adresu IP zgodnego ze standardem OIDC. Uzyskaj wartości podczas rejestrowania aplikacji, która zwykle występuje w portalu online.
W przypadku nowej aplikacji podaj wartości symboli {AUTHORITY}
zastępczych i {CLIENT ID}
w poniższej konfiguracji. Podaj inne wartości konfiguracji wymagane do użycia z adresem IP aplikacji. Przykładem jest google, który wymaga PostLogoutRedirectUri
, RedirectUri
i ResponseType
. W przypadku dodawania uwierzytelniania do aplikacji ręcznie dodaj następujący kod i konfigurację do aplikacji z wartościami zastępczymi i innymi wartościami konfiguracji.
W pliku Program
:
builder.Services.AddOidcAuthentication(options =>
{
builder.Configuration.Bind("Local", options.ProviderOptions);
});
Konfiguracja widoku wwwroot/appsettings.json
Konfiguracja jest dostarczana wwwroot/appsettings.json
przez plik:
{
"Local": {
"Authority": "{AUTHORITY}",
"ClientId": "{CLIENT ID}"
}
}
Zakresy tokenu dostępu
Szablon Blazor WebAssembly automatycznie konfiguruje domyślne zakresy dla openid
i profile
.
Szablon Blazor WebAssembly nie konfiguruje automatycznie aplikacji pod kątem żądania tokenu dostępu dla bezpiecznego interfejsu API. Aby aprowizować token dostępu w ramach przepływu logowania, dodaj zakres do domyślnych zakresów tokenu .OidcProviderOptions W przypadku dodawania uwierzytelniania do aplikacji ręcznie dodaj następujący kod i skonfiguruj identyfikator URI zakresu.
W pliku Program
:
builder.Services.AddOidcAuthentication(options =>
{
...
options.ProviderOptions.DefaultScopes.Add("{SCOPE URI}");
});
Aby uzyskać więcej informacji, zobacz następujące sekcje artykułu Dodatkowe scenariusze :
Importuje plik
Microsoft.AspNetCore.Components.Authorization Przestrzeń nazw jest udostępniana w całej _Imports.razor
aplikacji za pośrednictwem pliku:
@using System.Net.Http
@using System.Net.Http.Json
@using Microsoft.AspNetCore.Components.Authorization
@using Microsoft.AspNetCore.Components.Forms
@using Microsoft.AspNetCore.Components.Routing
@using Microsoft.AspNetCore.Components.Web
@using Microsoft.AspNetCore.Components.Web.Virtualization
@using Microsoft.AspNetCore.Components.WebAssembly.Http
@using Microsoft.JSInterop
@using {APPLICATION ASSEMBLY}
@using {APPLICATION ASSEMBLY}.Shared
Strona indeksu
Strona Indeks (wwwroot/index.html
) zawiera skrypt, który definiuje element AuthenticationService
w języku JavaScript. AuthenticationService
obsługuje szczegóły niskiego poziomu protokołu OIDC. Aplikacja wewnętrznie wywołuje metody zdefiniowane w skry skryptie w celu wykonania operacji uwierzytelniania.
<script src="_content/Microsoft.AspNetCore.Components.WebAssembly.Authentication/AuthenticationService.js"></script>
Składnik aplikacji
Składnik App
(App.razor
) jest podobny do składnika znajdującego App
się w Blazor Server aplikacjach:
- Składnik AuthorizeRouteView zapewnia, że bieżący użytkownik ma autoryzację dostępu do danej strony lub w inny sposób renderuje
RedirectToLogin
składnik. - Składnik
RedirectToLogin
zarządza przekierowywaniem nieautoryzowanych użytkowników do strony logowania.
- Składnik CascadingAuthenticationState zarządza udostępnianiem AuthenticationState rest aplikacji.
- Składnik AuthorizeRouteView zapewnia, że bieżący użytkownik ma autoryzację dostępu do danej strony lub w inny sposób renderuje
RedirectToLogin
składnik. - Składnik
RedirectToLogin
zarządza przekierowywaniem nieautoryzowanych użytkowników do strony logowania.
Ze względu na zmiany w strukturze w wersjach ASP.NET Core Razor , znaczniki dla App
składnika (App.razor
) nie są wyświetlane w tej sekcji. Aby sprawdzić znaczniki składnika dla danej wersji, użyj jednej z następujących metod:
Utwórz aplikację aprowizowaną do uwierzytelniania na podstawie domyślnego Blazor WebAssembly szablonu projektu dla wersji ASP.NET Core, która ma być używana.
App
Sprawdź składnik (App.razor
) w wygenerowanej aplikacji.App
Sprawdź składnik (App.razor
) w źródle referencyjnym. Wybierz wersję z selektora gałęzi i wyszukaj składnik wProjectTemplates
folderze repozytorium, ponieważ został przeniesiony przez lata.Uwaga
Linki dokumentacji do źródła referencyjnego platformy .NET zwykle ładują domyślną gałąź repozytorium, która odzwierciedla bieżące programowanie dla następnej wersji platformy .NET. Aby wybrać tag dla określonej wersji, użyj listy rozwijanej Przełącz gałęzie lub tagi. Aby uzyskać więcej informacji, zobacz Jak wybrać tag wersji kodu źródłowego platformy ASP.NET Core (dotnet/AspNetCore.Docs #26205).
RedirectToLogin, składnik
Składnik RedirectToLogin
(RedirectToLogin.razor
):
- Zarządza przekierowywaniem nieautoryzowanych użytkowników do strony logowania.
- Bieżący adres URL, do którego użytkownik próbuje uzyskać dostęp, jest utrzymywany przez program , dzięki czemu może zostać zwrócony do tej strony, jeśli uwierzytelnianie zakończy się pomyślnie, użyj:
- Stan historii nawigacji w programie ASP.NET Core na platformie .NET 7 lub nowszym.
- Ciąg zapytania w programie ASP.NET Core na platformie .NET 6 lub starszej wersji.
RedirectToLogin
Sprawdź składnik w źródle referencyjnym. Lokalizacja składnika zmieniła się wraz z upływem czasu, dlatego użyj narzędzi wyszukiwania GitHub, aby zlokalizować składnik.
Uwaga
Linki dokumentacji do źródła referencyjnego platformy .NET zwykle ładują domyślną gałąź repozytorium, która odzwierciedla bieżące programowanie dla następnej wersji platformy .NET. Aby wybrać tag dla określonej wersji, użyj listy rozwijanej Przełącz gałęzie lub tagi. Aby uzyskać więcej informacji, zobacz Jak wybrać tag wersji kodu źródłowego platformy ASP.NET Core (dotnet/AspNetCore.Docs #26205).
Składnik LoginDisplay
Składnik LoginDisplay
() jest renderowany w składniku MainLayout
(LoginDisplay.razor
MainLayout.razor
) i zarządza następującymi zachowaniami:
- W przypadku uwierzytelnionych użytkowników:
- Wyświetla bieżącą nazwę użytkownika.
- Oferuje link do strony profilu użytkownika w programie ASP.NET Core Identity.
- Oferuje przycisk wylogowywuje się z aplikacji.
- W przypadku użytkowników anonimowych:
- Oferuje opcję rejestracji.
- Oferuje opcję logowania.
Ze względu na zmiany w strukturze w wersjach ASP.NET Core Razor , znaczniki dla LoginDisplay
składnika nie są wyświetlane w tej sekcji. Aby sprawdzić znaczniki składnika dla danej wersji, użyj jednej z następujących metod:
Utwórz aplikację aprowizowaną do uwierzytelniania na podstawie domyślnego Blazor WebAssembly szablonu projektu dla wersji ASP.NET Core, która ma być używana.
LoginDisplay
Sprawdź składnik w wygenerowanej aplikacji.LoginDisplay
Sprawdź składnik w źródle referencyjnym. Lokalizacja składnika zmieniła się wraz z upływem czasu, dlatego użyj narzędzi wyszukiwania GitHub, aby zlokalizować składnik. Użyto szablonowej zawartości równejHosted
true
.Uwaga
Linki dokumentacji do źródła referencyjnego platformy .NET zwykle ładują domyślną gałąź repozytorium, która odzwierciedla bieżące programowanie dla następnej wersji platformy .NET. Aby wybrać tag dla określonej wersji, użyj listy rozwijanej Przełącz gałęzie lub tagi. Aby uzyskać więcej informacji, zobacz Jak wybrać tag wersji kodu źródłowego platformy ASP.NET Core (dotnet/AspNetCore.Docs #26205).
Składnik uwierzytelniania
Strona utworzona Authentication
przez składnik (Pages/Authentication.razor
) definiuje trasy wymagane do obsługi różnych etapów uwierzytelniania.
Składnik RemoteAuthenticatorView :
- Jest dostarczany przez
Microsoft.AspNetCore.Components.WebAssembly.Authentication
pakiet. - Zarządza wykonywaniem odpowiednich akcji na każdym etapie uwierzytelniania.
@page "/authentication/{action}"
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication
<RemoteAuthenticatorView Action="@Action" />
@code {
[Parameter]
public string? Action { get; set; }
}
Uwaga
Statyczne analizy statyczne typu referencyjnego dopuszczania wartości null (NRT) i kompilatora platformy .NET są obsługiwane w programie ASP.NET Core na platformie .NET 6 lub nowszym. Przed wydaniem ASP.NET Core na platformie .NET 6 string
typ jest wyświetlany bez oznaczenia typu null (?
).
Rozwiązywanie problemów
Rejestrowanie
Aby włączyć rejestrowanie debugowania lub śledzenia na potrzeby Blazor WebAssembly uwierzytelniania, zobacz sekcję Rejestrowanie uwierzytelniania po stronie klienta ASP.NET Core Blazor z selektorem wersji artykułu ustawionym na ASP.NET Core 7.0 lub nowszym.
Typowe błędy
Błędna konfiguracja aplikacji lub Identity dostawcy (IP)
Najczęstsze błędy są spowodowane nieprawidłową konfiguracją. Poniżej przedstawiono kilka przykładów:
- W zależności od wymagań scenariusza brakujący lub niepoprawny urząd, wystąpienie, identyfikator dzierżawy, domena dzierżawy, identyfikator klienta lub identyfikator URI przekierowania uniemożliwia aplikacji uwierzytelnianie klientów.
- Nieprawidłowe zakresy żądań uniemożliwiają klientom uzyskiwanie dostępu do punktów końcowych internetowego interfejsu API serwera.
- Nieprawidłowe lub brakujące uprawnienia interfejsu API serwera uniemożliwiają klientom uzyskiwanie dostępu do punktów końcowych internetowego interfejsu API serwera.
- Uruchamianie aplikacji na innym porcie niż jest skonfigurowane w identyfikatorze URI przekierowania rejestracji aplikacji adresu IP. Należy pamiętać, że port nie jest wymagany dla identyfikatora Entra firmy Microsoft i aplikacji działającej
localhost
na adresie testowania programowania, ale konfiguracja portu aplikacji i port, na którym działa aplikacja, musi być zgodna z adresami innychlocalhost
niż.
Sekcje konfiguracji tego artykułu zawierają przykłady prawidłowej konfiguracji. Dokładnie sprawdź każdą sekcję artykułu, aby wyszukać błędną konfigurację aplikacji i adresu IP.
Jeśli konfiguracja jest poprawna:
Analizowanie dzienników aplikacji.
Sprawdź ruch sieciowy między aplikacją kliencka a adresem IP lub aplikacją serwera przy użyciu narzędzi deweloperskich przeglądarki. Często dokładny komunikat o błędzie lub komunikat zawierający wskazówki dotyczące przyczyn problemu jest zwracany do klienta przez adres IP lub aplikację serwera po wykonaniu żądania. Narzędzia programistyczne wskazówki można znaleźć w następujących artykułach:
- Google Chrome (dokumentacja Google)
- Microsoft Edge
- Mozilla Firefox (dokumentacja Mozilla)
W przypadku wersji Blazor , w których jest używany token internetowy JSON (JWT), zdekoduj zawartość tokenu używanego do uwierzytelniania klienta lub uzyskiwania dostępu do internetowego interfejsu API serwera, w zależności od tego, gdzie występuje problem. Aby uzyskać więcej informacji, zobacz Inspekcja zawartości tokenu internetowego JSON (JWT).
Zespół dokumentacji odpowiada na opinie dotyczące dokumentów i usterek w artykułach (otwórz problem z sekcji Ta strona opinii), ale nie może zapewnić pomocy technicznej dotyczącej produktów. Dostępnych jest kilka publicznych forów pomocy technicznej, które ułatwiają rozwiązywanie problemów z aplikacją. Zalecamy:
Poprzednie fora nie należą do firmy Microsoft ani nie są kontrolowane przez firmę Microsoft.
W przypadku raportów usterek struktury niezwiązanych z zabezpieczeniami, niewrażliwych i nieufnych, otwórz problem z jednostką produktu ASP.NET Core. Nie otwieraj problemu z jednostką produktu, dopóki nie zbadasz dokładnie przyczyny problemu i nie możesz go rozwiązać samodzielnie i z pomocą społeczności na publicznym forum pomocy technicznej. Jednostka produktu nie może rozwiązywać problemów z poszczególnymi aplikacjami, które są uszkodzone z powodu prostej błędnej konfiguracji lub przypadków użycia obejmujących usługi innych firm. Jeśli raport jest poufny lub poufny lub opisuje potencjalną lukę w zabezpieczeniach produktu, którą mogą wykorzystać cyberataki, zobacz Raportowanie problemów z zabezpieczeniami i usterek (
dotnet/aspnetcore
repozytorium GitHub).Nieautoryzowany klient dla identyfikatora ME
info: Autoryzacja Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2] nie powiodła się. Te wymagania nie zostały spełnione: DenyAnonymousAuthorizationRequirement: Wymaga uwierzytelnionego użytkownika.
Błąd wywołania zwrotnego logowania z identyfikatora ME-ID:
- Błąd:
unauthorized_client
- Opis:
AADB2C90058: The provided application is not configured to allow public clients.
Aby naprawić ten błąd:
- W witrynie Azure Portal uzyskaj dostęp do manifestu aplikacji.
allowPublicClient
Ustaw atrybut nanull
lubtrue
.
- Błąd:
Pliki cookie i dane witryn
Pliki cookie i dane witryn mogą być utrwalane w aktualizacjach aplikacji i zakłócać testowanie i rozwiązywanie problemów. Wyczyść następujące informacje podczas wprowadzania zmian w kodzie aplikacji, zmiany konta użytkownika w dostawcy lub zmiany konfiguracji aplikacji dostawcy:
- Pliki cookie logowania użytkownika
- Pliki cookie aplikacji
- Buforowane i przechowywane dane lokacji
Jednym z metod zapobiegania utrzymującym się plikom cookie i danym witryny jest zakłócanie testowania i rozwiązywania problemów:
- Konfigurowanie przeglądarki
- Użyj przeglądarki do testowania, które można skonfigurować, aby usuwać wszystkie cookie dane witryny i za każdym razem, gdy przeglądarka jest zamknięta.
- Upewnij się, że przeglądarka jest zamknięta ręcznie lub przez środowisko IDE w celu zmiany konfiguracji aplikacji, użytkownika testowego lub dostawcy.
- Użyj polecenia niestandardowego, aby otworzyć przeglądarkę w trybie InPrivate lub Incognito w programie Visual Studio:
- Otwórz okno dialogowe Przeglądaj za pomocą z przycisku Uruchom programu Visual Studio.
- Kliknij przycisk Dodaj.
- Podaj ścieżkę do przeglądarki w polu Program . Następujące ścieżki wykonywalne to typowe lokalizacje instalacji systemu Windows 10. Jeśli przeglądarka jest zainstalowana w innej lokalizacji lub nie używasz systemu Windows 10, podaj ścieżkę do pliku wykonywalnego przeglądarki.
- Microsoft Edge:
C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
- Google Chrome:
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
- Mozilla Firefox:
C:\Program Files\Mozilla Firefox\firefox.exe
- Microsoft Edge:
- W polu Argumenty podaj opcję wiersza polecenia używaną przez przeglądarkę do otwierania w trybie InPrivate lub Incognito. Niektóre przeglądarki wymagają adresu URL aplikacji.
- Microsoft Edge: użyj polecenia
-inprivate
. - Google Chrome: użyj symbolu
--incognito --new-window {URL}
{URL}
zastępczego , gdzie symbol zastępczy to adres URL do otwarcia (na przykładhttps://localhost:5001
). - Mozilla Firefox: użyj symbolu
-private -url {URL}
zastępczego{URL}
, gdzie symbol zastępczy jest adresem URL do otwarcia (na przykładhttps://localhost:5001
).
- Microsoft Edge: użyj polecenia
- Podaj nazwę w polu Przyjazna nazwa . Na przykład
Firefox Auth Testing
. - Wybierz przycisk OK.
- Aby uniknąć konieczności wybierania profilu przeglądarki dla każdej iteracji testowania za pomocą aplikacji, ustaw profil jako domyślny przy użyciu przycisku Ustaw jako domyślny .
- Upewnij się, że przeglądarka jest zamknięta przez środowisko IDE w celu zmiany konfiguracji aplikacji, użytkownika testowego lub dostawcy.
Uaktualnienia aplikacji
Działająca aplikacja może zakończyć się niepowodzeniem natychmiast po uaktualnieniu zestawu .NET Core SDK na komputerze deweloperskim lub zmianie wersji pakietów w aplikacji. W niektórych przypadkach niespójne pakiety mogą spowodować przerwanie aplikacji podczas przeprowadzania głównych uaktualnień. Większość z tych problemów można rozwiązać, wykonując następujące instrukcje:
- Wyczyść pamięć podręczną pakietów NuGet systemu lokalnego, wykonując polecenie
dotnet nuget locals all --clear
z powłoki poleceń. - Usuń foldery i
obj
folderybin
projektu. - Przywracanie i ponowne kompilowanie projektu.
- Usuń wszystkie pliki w folderze wdrażania na serwerze przed ponownym wdrożeniem aplikacji.
Uwaga
Korzystanie z wersji pakietów niezgodnych z platformą docelową aplikacji nie jest obsługiwane. Aby uzyskać informacje na temat pakietu, użyj galerii NuGet lub Eksploratora pakietów FuGet.
Server
Uruchamianie aplikacji
Podczas testowania i rozwiązywania problemów z hostowanym Blazor WebAssemblyrozwiązaniem upewnij się, że używasz aplikacji z Server
projektu.
Sprawdzanie użytkownika
Poniższy User
składnik może być używany bezpośrednio w aplikacjach lub służyć jako podstawa dalszego dostosowywania.
User.razor
:
@page "/user"
@attribute [Authorize]
@using System.Text.Json
@using System.Security.Claims
@inject IAccessTokenProvider AuthorizationService
<h1>@AuthenticatedUser?.Identity?.Name</h1>
<h2>Claims</h2>
@foreach (var claim in AuthenticatedUser?.Claims ?? Array.Empty<Claim>())
{
<p class="claim">@(claim.Type): @claim.Value</p>
}
<h2>Access token</h2>
<p id="access-token">@AccessToken?.Value</p>
<h2>Access token claims</h2>
@foreach (var claim in GetAccessTokenClaims())
{
<p>@(claim.Key): @claim.Value.ToString()</p>
}
@if (AccessToken != null)
{
<h2>Access token expires</h2>
<p>Current time: <span id="current-time">@DateTimeOffset.Now</span></p>
<p id="access-token-expires">@AccessToken.Expires</p>
<h2>Access token granted scopes (as reported by the API)</h2>
@foreach (var scope in AccessToken.GrantedScopes)
{
<p>Scope: @scope</p>
}
}
@code {
[CascadingParameter]
private Task<AuthenticationState> AuthenticationState { get; set; }
public ClaimsPrincipal AuthenticatedUser { get; set; }
public AccessToken AccessToken { get; set; }
protected override async Task OnInitializedAsync()
{
await base.OnInitializedAsync();
var state = await AuthenticationState;
var accessTokenResult = await AuthorizationService.RequestAccessToken();
if (!accessTokenResult.TryGetToken(out var token))
{
throw new InvalidOperationException(
"Failed to provision the access token.");
}
AccessToken = token;
AuthenticatedUser = state.User;
}
protected IDictionary<string, object> GetAccessTokenClaims()
{
if (AccessToken == null)
{
return new Dictionary<string, object>();
}
// header.payload.signature
var payload = AccessToken.Value.Split(".")[1];
var base64Payload = payload.Replace('-', '+').Replace('_', '/')
.PadRight(payload.Length + (4 - payload.Length % 4) % 4, '=');
return JsonSerializer.Deserialize<IDictionary<string, object>>(
Convert.FromBase64String(base64Payload));
}
}
Sprawdzanie zawartości tokenu internetowego JSON (JWT)
Aby zdekodować token internetowy JSON (JWT), użyj narzędzia jwt.ms firmy Microsoft. Wartości w interfejsie użytkownika nigdy nie opuszczają przeglądarki.
Przykład zakodowany JWT (skrócony do wyświetlania):
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ilg1ZVhrNHh5b2pORnVtMWtsMll0djhkbE5QNC1j ... bQdHBHGcQQRbW7Wmo6SWYG4V_bU55Ug_PW4pLPr20tTS8Ct7_uwy9DWrzCMzpD-EiwT5IjXwlGX3IXVjHIlX50IVIydBoPQtadvT7saKo1G5Jmutgq41o-dmz6-yBMKV2_nXA25Q
Przykładowy kod JWT dekodowany przez narzędzie dla aplikacji, która uwierzytelnia się w usłudze Azure AAD B2C:
{
"typ": "JWT",
"alg": "RS256",
"kid": "X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk"
}.{
"exp": 1610059429,
"nbf": 1610055829,
"ver": "1.0",
"iss": "https://mysiteb2c.b2clogin.com/11112222-bbbb-3333-cccc-4444dddd5555/v2.0/",
"sub": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"aud": "00001111-aaaa-2222-bbbb-3333cccc4444",
"nonce": "bbbb0000-cccc-1111-dddd-2222eeee3333",
"iat": 1610055829,
"auth_time": 1610055822,
"idp": "idp.com",
"tfp": "B2C_1_signupsignin"
}.[Signature]
Dodatkowe zasoby
- Dodatkowe scenariusze zabezpieczeń dotyczące platformy ASP.NET Core Blazor WebAssembly
- Nieuwierzytelnione lub nieautoryzowane żądania internetowego interfejsu API w aplikacji z bezpiecznym klientem domyślnym
- Konfigurowanie ASP.NET Core do pracy z serwerami proxy i modułami równoważenia obciążenia: zawiera wskazówki dotyczące:
- Używanie oprogramowania pośredniczącego nagłówków przekazywanych w celu zachowania informacji o schemacie HTTPS między serwerami proxy i sieciami wewnętrznymi.
- Dodatkowe scenariusze i przypadki użycia, w tym ręczna konfiguracja schematu, żądanie zmiany ścieżki żądania na potrzeby prawidłowego routingu żądań i przekazywanie schematu żądań dla zwrotnych serwerów proxy systemu Linux i innych niż IIS.