你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure 容器应用中启用身份验证令牌存储
Azure 容器应用身份验证支持称为令牌存储的功能。 令牌存储是与 Web 应用和 API 的用户相关联的令牌存储库。 可通过为容器应用配置 Azure Blob 存储容器来启用令牌存储。
应用程序代码有时需要代表用户访问这些提供程序中的数据,例如:
- 发布到经过身份验证的用户的 Facebook 时间线
- 使用 Microsoft Graph API 读取用户的公司数据
通常,需要编写代码才能在应用程序中收集、存储和刷新令牌。 使用令牌存储,可以在需要令牌时检索令牌;当令牌失效时,可以告知容器应用刷新令牌。
启用令牌存储时,容器应用身份验证系统会缓存经过身份验证的会话的 ID 令牌、访问令牌和刷新令牌,这些令牌只能由关联的用户访问。
注意
令牌存储功能以预览版提供。
生成 SAS URL
在为容器应用创建令牌存储之前,首先需要一个具有专用 Blob 容器的 Azure 存储帐户。
在 Azure 门户中转到你的存储帐户或创建新的存储帐户。
选择“容器”,然后根据需要创建专用 Blob 容器。
选择要在其中创建令牌存储的存储容器所在行末尾的三个点 (•••)。
在“生成 SAS”窗口中输入适合需求的值。
请确保在定义中包含读取、写入和删除权限。
注意
确保跟踪 SAS 到期日期,以确保对容器的访问不会停止。
选择“生成 SAS 令牌 URL”按钮以生成 SAS URL。
复制 SAS URL 并将其粘贴到文本编辑器中,以便在下一步中使用。
将 SAS URL 另存为机密
生成 SAS URL 后,可以将其作为机密保存在容器应用中。 确保与存储关联的权限包括对 Blob 存储容器有效的权限。
在 Azure 门户中转到你的容器应用。
选择“机密”。
选择“添加”并在“添加机密”窗口中输入以下值。
属性 Value 密钥 输入 SAS 机密的名称。 类型 选择“容器应用机密”。 值 输入从存储容器生成的 SAS URL 值。
创建令牌存储
使用 containerapp auth update
命令将 Azure 存储帐户关联到容器应用并创建令牌存储。
在本示例中,输入你的值,代替由 <>
括号括起来的占位符标记。
az containerapp auth update \
--resource-group <RESOURCE_GROUP_NAME> \
--name <CONTAINER_APP_NAME> \
--sas-url-secret-name <SAS_SECRET_NAME> \
--token-store true
此外,还可以使用 ARM 模板通过 sasUrlSettingName
属性创建令牌存储。