你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure AD B2C 在调用 Web API 的示例 Web 应用中配置身份验证
本文使用一个示例 ASP.NET Web 应用,该示例通过调用 Web API 来说明如何将 Azure Active Directory B2C (Azure AD B2C) 身份验证添加到 Web 应用中。
重要
本文中引用的示例 ASP.NET Web 应用用于调用带有持有者令牌的 Web API。 对于不调用 Web API 的 Web 应用,请参阅使用 Azure AD B2C 在示例 Web 应用中配置身份验证。
概述
OpenID Connect (OIDC) 是在 OAuth 2.0 上构建的身份验证协议。 可以使用 OIDC 将用户安全地登录到应用程序。 此 Web 应用示例使用 Microsoft Identity Web。 Microsoft Identity Web 是一组 ASP.NET Core 库,可简化向 Web 应用(该应用可调用安全的 Web API)添加身份验证和授权支持的过程。
登录流涉及以下步骤:
用户前往 Web 应用,并选择“登录”。
应用发起身份验证请求,并将用户重定向到 Azure AD B2C。
用户成功登录后,Azure AD B2C 向应用返回一个授权代码。
然后此应用执行以下操作:
a. 将此授权代码交换到 ID 令牌、访问令牌和刷新令牌。
b. 读取 ID 令牌声明,并保留应用程序授权 cookie。
c. 将刷新令牌存储在内存中的缓存中供以后使用。
应用注册概述
若要让应用能够使用 Azure AD B2C 登录并调用 Web API,你需要在 Azure AD B2C 目录中注册两个应用程序。
Web 应用注册能让你的应用使用 Azure AD B2C 登录。 在注册过程中,你需要指定重定向 URI。 重定向 URI 是用户在使用 Azure AD B2C 完成身份验证后,Azure AD B2C 将用户重定向到的终结点。 此应用注册过程会生成应用程序 ID(也称为“客户端 ID”),将其作为该应用的唯一标识。 你还将创建一个客户端密码,你的应用可使用该密码安全地获取令牌。
Web API 注册可使应用调用安全的 Web API。 注册内容包括 Web API 的作用域。 作用域提供了一种方法来管理受保护资源(例如你的 Web API)的访问权限。 你可以向 Web API 的作用域授予 Web 应用访问权限。 在请求访问令牌时,你的应用需要在请求的作用域参数中指定所需的访问权限。
下图演示了应用体系结构和注册:
调用 Web API
身份验证完成后,用户将与应用交互,应用会调用受保护的 Web API。 Web API 使用持有者令牌身份验证。 持有者令牌是应用从 Azure AD B2C 获取的访问令牌。 应用在 HTTPS 请求的授权标头中传递令牌。
Authorization: Bearer <access token>
如果访问令牌范围与 Web API 范围不一致,身份验证库将获取具有正确范围的新访问令牌。
注销
注销流程涉及以下步骤:
- 用户从应用中注销。
- 应用清除其会话对象,并且身份验证库清除其令牌缓存。
- 应用将用户定向到 Azure AD B2C 注销终结点,以终止 Azure AD B2C 会话。
- 用户被重定向回应用。
先决条件
运行以下两者之一的计算机:
- 具有 ASP.NET 和 Web 开发工作负载的 Visual Studio 2022 17.0 或更高版本
- .NET 6.0 SDK
步骤 1:配置用户流
当用户尝试登录你的应用时,该应用会通过用户流向授权终结点发起身份验证请求。 用户流定义并控制用户体验。 用户完成用户流后,Azure AD B2C 会生成一个令牌,然后将用户重定向回应用程序。
请创建用户流或自定义策略(如果你尚未这样做)。 重复这些步骤以按如下所述创建三个单独的用户流:
- 组合的“登录和注册”用户流,例如
susi
。 此用户流还支持“忘记密码”体验。 - “个人资料编辑”用户流,例如
edit_profile
。 - “密码重置”用户流,例如
reset_password
。
Azure AD B2C 将在用户流名称前面追加 B2C_1_
。 例如,susi
重命名为 B2C_1_susi
。
步骤 2:注册 Web 应用
在此步骤中,你将创建 Web 应用和 Web API 应用程序注册,并指定 Web API 的作用域。
步骤 2.1:注册 Web API 应用
请按照以下步骤创建 Web API 应用注册(应用 ID: 2):
登录 Azure 门户。
确保正在使用的目录包含 Azure AD B2C 租户。 在门户工具栏中选择“目录 + 订阅”图标。
在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
在 Azure 门户中,搜索并选择“Azure AD B2C”。
选择“应用注册”,然后选择“新建注册” 。
对于名称,请输入应用程序的名称(例如 my-api1) 。 保留“重定向 URI”和“支持的帐户类型”的默认值。
选择“注册”。
完成应用注册后,选择“概述”。
记录“应用程序(客户端) ID”值,以便在稍后配置 Web 应用程序时使用。
步骤 2.2:配置 Web API 应用的作用域
选择所创建的 my-api1 应用程序(应用 ID:2)以打开其“概述”页面 。
在“管理”下,选择“公开 API” 。
选择“应用程序 ID URI”旁边的“设置”链接。 将默认值 (GUID) 替换为一个唯一名称(例如“tasks-api”),然后选择“保存”。
Web 应用在请求 Web API 的访问令牌时,应将此 URI 添加为你为 API 定义的每个范围的前缀。
在“此 API 定义的范围”下选择“添加范围”。
若要创建一个用于定义对 API 的读取访问权限的范围,请执行以下操作:
- 对于“范围名称”,输入“tasks.read” 。
- 对于“管理员同意显示名称”,输入“对任务 API 的读取访问权限” 。
- 对于“管理员同意说明”,输入“允许对任务 API 进行读取访问” 。
选择“添加作用域”。
选择“添加范围”,然后添加一个用于定义对 API 的写入访问权限的范围:
- 对于“范围名称”,输入“tasks.write” 。
- 对于“管理员同意显示名称”,“对任务 API 的写入访问权限” 。
- 对于“管理员同意说明”,输入“允许对任务 API 进行写入访问” 。
选择“添加作用域”。
步骤 2.3:注册 Web 应用
若要创建 Web 应用注册,请执行下列操作:
选择“应用注册”,然后选择“新建注册” 。
在“名称”下,输入应用程序的名称(例如 webapp1)。
在“支持的帐户类型”下,选择“任何标识提供者或组织目录中的帐户(用于通过用户流对用户进行身份验证)” 。
在“重定向 URI”下,选择“Web”,然后在 URL 框中输入
https://localhost:5000/signin-oidc
。在“权限”下,选中“授予对 OpenID 和脱机访问权限的管理员许可”复选框。
选择“注册” 。
完成应用注册后,选择“概述”。
记录“应用程序(客户端) ID”,以便在稍后配置 Web 应用程序时使用。
步骤 2.4:创建 Web 应用客户端密码
为注册的 Web 应用创建客户端密码。 Web 应用程序在请求令牌时使用客户端机密来证明其身份。
- 在“管理”下,选择“证书和机密”。
- 选择“新建客户端机密”。
- 在“说明”框中输入客户端机密的说明(例如 clientsecret1)。
- 在“过期时间”下,选择机密持续生效的时间,然后选择“添加”。
- 记下机密的“值”。 在稍后的步骤中将使用此值进行配置。
步骤 2.5:为 Web API 授予 Web 应用权限
若要向应用(应用 ID:1)授予权限,请执行以下步骤:
选择“应用注册”,然后选择你所创建的应用(应用 ID:1) 。
在“管理”下选择“API 权限”。
在“已配置权限”下,选择“添加权限”。
选择“我的 API”选项卡。
选择应授予 Web 应用程序访问权限的 API(应用 ID:2)。 例如,输入“my-api1”。
在“权限”下展开“任务”,然后选择之前定义的范围(例如,tasks.read 和 tasks.write )。
选择“添加权限”。
选择“向<租户名称>授予管理员许可”。
选择 “是” 。
选择“刷新”,然后验证两个范围的“状态”下是否均显示“已授予...” 。
从“配置权限”列表中,选择范围,然后复制范围全名。
步骤 3:获取 Web 应用示例
下载 zip 文件,或运行以下 Bash 命令,从 GitHub 克隆示例 Web 应用。
git clone https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2
将示例文件提取到文件夹,该文件夹的路径总字符长度不超过 260 个字符。
步骤 4:配置示例 Web API
在示例文件夹中的 4-WebApp-your-API/4-2-B2C/TodoListService 文件夹中,使用 Visual Studio 或 Visual Studio Code 打开 TodoListService.csproj 项目。
在项目根文件夹下,打开 appsettings.json 文件。 此文件包含有关 Azure AD B2C 标识提供者的信息。 Web API 应用使用此信息来验证访问令牌,该访问令牌由 Web 应用当作持有者令牌传递。 更新应用设置的以下属性:
部分 | 密钥 | 值 |
---|---|---|
AzureAdB2C | 实例 | Azure AD B2C 租户名称的第一个部分。 例如,https://contoso.b2clogin.com 。 |
AzureAdB2C | 域 | Azure AD B2C 租户的完整租户名称。 例如,contoso.onmicrosoft.com 。 |
AzureAdB2C | ClientId | 步骤 2.1 中的 Web API 应用 ID。 |
AzureAdB2C | SignUpSignInPolicyId | 用户流,或在步骤 1 中创建的自定义策略。 |
你的最终配置文件应类似于下面的 JSON 文件:
{
"AzureAdB2C": {
"Instance": "https://contoso.b2clogin.com",
"Domain": "contoso.onmicrosoft.com",
"ClientId": "<web-api-app-application-id>",
"SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
"SignUpSignInPolicyId": "<your-sign-up-in-policy>"
},
// More settings here
}
步骤 4.1:设置权限策略
Web API 将验证用户是否已使用持有者令牌进行身份验证,以及持有者令牌是否已配置接受的作用域。 如果持有者令牌不具有其中任何一个接受的作用域,则 Web API 将返回 HTTP 状态代码 403(已禁止)并向响应正文写入一条消息,告知令牌中应配置哪些作用域。
若要配置接受的范围,请打开 Controller/TodoListController.cs
类,然后设置范围名称(不含完整 URI)。
[RequiredScope("tasks.read")]
步骤 4.2:运行示例 Web API 应用
若要允许 Web 应用调用 Web API 示例,请执行以下操作来运行 Web API:
- 如果系统要求你这样做,请还原依赖项。
- 生成并运行该项目。
- 生成项目后,Visual Studio 或 Visual Studio Code 将使用以下地址在浏览器中启动 Web API:https://localhost:44332.
步骤 5:配置示例 Web 应用
在示例文件夹中的 4-WebApp-your-API/4-2-B2C/Client
文件夹下,使用 Visual Studio 或 Visual Studio Code 打开 TodoListClient.csproj 项目。
在项目根文件夹下,打开 appsettings.json
文件。 此文件包含有关 Azure AD B2C 标识提供者的信息。 Web 应用使用此信息与 Azure AD B2C 建立信任关系、允许用户登录和注销、获取令牌和验证令牌。 更新应用设置的以下属性:
部分 | 密钥 | 值 |
---|---|---|
AzureAdB2C | 实例 | Azure AD B2C 租户名称的第一部分(例如 https://contoso.b2clogin.com )。 |
AzureAdB2C | 域 | Azure AD B2C 租户的完整租户名称(例如 contoso.onmicrosoft.com )。 |
AzureAdB2C | ClientId | 步骤 2.3 中的 Web 应用 ID。 |
AzureAdB2C | ClientSecret | 步骤 2.4 中的 Web 应用密码。 |
AzureAdB2C | SignUpSignInPolicyId | 用户流,或在步骤 1 中创建的自定义策略。 |
TodoList | TodoListScope | 你在步骤 2.5 中创建的 Web API 作用域。 |
TodoList | TodoListBaseAddress | Web API 的基 URI(例如 https://localhost:44332 )。 |
你的最终配置文件应类似于下面的 JSON:
{
"AzureAdB2C": {
"Instance": "https://contoso.b2clogin.com",
"Domain": "contoso.onmicrosoft.com",
"ClientId": "<web-app-application-id>",
"ClientSecret": "<web-app-application-secret>",
"SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
"SignUpSignInPolicyId": "<your-sign-up-in-policy>"
},
"TodoList": {
"TodoListScope": "https://contoso.onmicrosoft.com/api/demo.read",
"TodoListBaseAddress": "https://localhost:44332"
}
}
步骤 6:运行示例 Web 应用
- 生成并运行该项目。
- 浏览到
https://localhost:5000
。 - 完成注册或登录过程。
身份验证成功后,你会在导航栏中看到显示名称。 若要查看 Azure AD B2C 令牌返回到应用的声明,请选择“TodoList”。
部署应用程序
在生产应用程序中,应用注册重定向 URI 通常是运行应用的可公开访问的终结点,比如 https://contoso.com/signin-oidc
。
可以随时在注册的应用程序中添加和修改重定向 URI。 重定向 URI 存在以下限制:
- 回复 URL 必须以方案
https
开头。 - 回复 URL 区分大小写。 其大小写必须与正在运行的应用程序的 URL 路径的大小写匹配。
Web 应用的令牌缓存
Web 应用示例使用内存中令牌缓存序列化。 此实现在示例中非常有用。 如果你不介意令牌缓存在 Web 应用重启后会丢失这一情况,那么它也适用于生产应用程序。
对于生产环境,建议使用分布式内存缓存。 例如 Redis 缓存、NCache 或 SQL Server 缓存。 有关分布式内存缓存实现的详细信息,请参阅令牌缓存序列化。
后续步骤
- 详细了解代码示例。
- 了解如何使用 Azure AD B2C 在自己的 Web 应用中启用身份验证。
- 了解如何在自己的 Web API 中启用身份验证。