在 Azure Container Apps 中啟用驗證令牌存放區
Azure Container Apps 驗證支持稱為令牌存放區的功能。 令牌存放區是與 Web 應用程式和 API 使用者相關聯的令牌存放庫。 您可以使用 Azure Blob 儲存體 容器來設定容器應用程式,以啟用令牌存放區。
您的應用程式程式代碼有時需要代表使用者存取這些提供者的數據,例如:
- 張貼至已驗證使用者的 Facebook 時程表
- 使用 Microsoft Graph API 讀取使用者的公司數據
您通常需要撰寫程式代碼,以收集、儲存和重新整理應用程式中的令牌。 使用令牌存放區,您可以在 需要令牌時擷取令牌 ,並 告知 Container Apps 在令牌失效時重新整理令牌。
啟用令牌存放區時,Container Apps 驗證系統會快取已驗證會話的標識碼令牌、存取令牌和重新整理令牌,而且只能由相關聯的使用者存取。
注意
令牌存放區功能處於預覽狀態。
產生SAS URL
您必須先有具有私人 Blob 容器的 Azure 儲存體 帳戶,才能為容器應用程式建立令牌存放區。
移至您的記憶體帳戶,或在 Azure 入口網站 中建立新的帳戶。
選取 [容器 ],並視需要建立私人 Blob 容器。
針對您要在其中建立令牌存放區的記憶體容器,選取數據列結尾的三個點 (•••••)。
在 [產生 SAS ] 視窗中輸入適合您需求的值。
請確定您在 定義中包含讀取、 寫入 和 刪除 許可權。
注意
請確定您追蹤 SAS 到期日,以確保對容器的存取不會停止。
選取 [ 產生 SAS 令牌 URL ] 按鈕以產生 SAS URL。
複製 SAS URL,並將其貼到文字編輯器中,以供下列步驟使用。
將SAS URL儲存為秘密
透過產生的SAS URL,您可以將它儲存在容器應用程式中做為秘密。 請確定與存放區相關聯的許可權包含 Blob 記憶體容器的有效許可權。
移至 Azure 入口網站 中的容器應用程式。
選取 [ 秘密]。
選取 [新增],然後在 [新增秘密] 視窗中輸入下列值。
屬性 值 機碼 輸入SAS秘密的名稱。 類型 選取 [容器應用程式秘密]。 值 輸入您從記憶體容器產生的 SAS URL 值。
建立令牌存放區
containerapp auth update使用 命令將 Azure 儲存體 帳戶與您的容器應用程式產生關聯,並建立令牌存放區。
在此範例中,您會將值放在佔位符標記中,並 <> 括住方括弧。
az containerapp auth update \
--resource-group <RESOURCE_GROUP_NAME> \
--name <CONTAINER_APP_NAME> \
--sas-url-secret-name <SAS_SECRET_NAME> \
--token-store true
此外,您可以使用 ARM 範本,使用 sasUrlSettingName 屬性建立令牌存放區。