你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 容器应用中启用身份验证令牌存储

Azure 容器应用身份验证支持称为令牌存储的功能。 令牌存储是与 Web 应用和 API 的用户相关联的令牌存储库。 可通过为容器应用配置 Azure Blob 存储容器来启用令牌存储。

应用程序代码有时需要代表用户访问这些提供程序中的数据,例如:

  • 发布到经过身份验证的用户的 Facebook 时间线
  • 使用 Microsoft Graph API 读取用户的公司数据

通常,需要编写代码才能在应用程序中收集、存储和刷新令牌。 使用令牌存储,可以在需要令牌时检索令牌;当令牌失效时,可以告知容器应用刷新令牌

启用令牌存储时,容器应用身份验证系统会缓存经过身份验证的会话的 ID 令牌、访问令牌和刷新令牌,这些令牌只能由关联的用户访问。

注意

令牌存储功能以预览版提供。

生成 SAS URL

在为容器应用创建令牌存储之前,首先需要一个具有专用 Blob 容器的 Azure 存储帐户。

  1. 在 Azure 门户中转到你的存储帐户或创建新的存储帐户

  2. 选择“容器”,然后根据需要创建专用 Blob 容器

  3. 选择要在其中创建令牌存储的存储容器所在行末尾的三个点 (•••)。

  4. 在“生成 SAS”窗口中输入适合需求的值

    请确保在定义中包含读取、写入和删除权限

    注意

    确保跟踪 SAS 到期日期,以确保对容器的访问不会停止。

  5. 选择“生成 SAS 令牌 URL”按钮以生成 SAS URL

  6. 复制 SAS URL 并将其粘贴到文本编辑器中,以便在下一步中使用。

将 SAS URL 另存为机密

生成 SAS URL 后,可以将其作为机密保存在容器应用中。 确保与存储关联的权限包括对 Blob 存储容器有效的权限。

  1. 在 Azure 门户中转到你的容器应用。

  2. 选择“机密”。

  3. 选择“添加”并在“添加机密”窗口中输入以下值

    属性 Value
    密钥 输入 SAS 机密的名称。
    类型 选择“容器应用机密”
    输入从存储容器生成的 SAS URL 值。

创建令牌存储

使用 containerapp auth update 命令将 Azure 存储帐户关联到容器应用并创建令牌存储。

在本示例中,输入你的值,代替由 <> 括号括起来的占位符标记。

az containerapp auth update \
  --resource-group <RESOURCE_GROUP_NAME> \
  --name <CONTAINER_APP_NAME> \
  --sas-url-secret-name <SAS_SECRET_NAME> \
  --token-store true

此外,还可以使用 ARM 模板通过 sasUrlSettingName 属性创建令牌存储。

后续步骤