Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API 上
一,引言
上一节讲到Azure AD的一些基础概念,以及Azure AD究竟可以用来做什么?本节就接着讲如何在我们的项目中集成Azure AD 保护我们的API资源(其实这里还可以在 SPA单页面应用,Web项目,移动/桌面应用程序集成Azure AD),好了,废话不多说,开始今天的内容。
二,正文
上一篇介绍到 Azure AD 其实是微软基于云的表示和授权访问管理服务,它可以帮助我们在Azure中登录和访问资源。我们可以通过Azure的标识平台生成应用程序,采用微软标识登录,以及获取令牌来调用受保护的API资源。也就是说这一切功能也是基于包含Oauth 2.0和Open ID Connect的身份验证服务。
下面先去了解,熟悉一下关于Identity Server 4的 OpenID 和 OAuth 的区别以及授权模式
如果之前有了解 Identity Server 4 这种授权验证的框架,可以跳过下面的介绍:
identityServer4 知多少(圣杰):https://www.cnblogs.com/sheng-jie/p/9430920.html
授权服务器identityServer4 开篇(老张的哲学):https://www.cnblogs.com/laozhang-is-phi/p/10483922.html
(一) OpenID 和 OAuth 的区别 (以下的介绍来自google和 OAuth官网)
1,OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,简单通俗的理解,OpenID是用来做为身份验证的
2,OAuth 2.0是用于授权的行业标准协议。OAuth 2.0致力于简化客户端开发人员的工作,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。也就是说 OAuth 2.0 是用来进行授权的
3,OpenID Connect 是基于OAuth 协议的简单身份层。它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份,并以可互操作且类似于REST的方式获取有关最终用户的基本配置文件信息。OpenID Connect允许所有类型的客户端(包括基于Web的客户端,移动客户端和JavaScript客户端)请求并接收有关经过身份验证的会话和最终用户的信息。规范套件是可扩展的,允许参与者在对他们有意义的时候使用可选功能,例如身份数据加密,OpenID提供程序的发现以及会话管理。
OpenID Connect执行许多与OpenID 2.0相同的任务,但是这样做的方式是API友好的,并且可由本机和移动应用程序使用,OpenID Connect定义了用于可靠签名和加密的可选机制。OAuth 1.0和OpenID 2.0的集成需要扩展,而在OpenID Connect中,OAuth 2.0功能与协议本身集成在一起。
(二)授权模式
1,隐式模式(Implicit Flow)
2,客户端授权模式(Client Credentials Flow)
3,授权码授权模式(Authorization Code Flow)
4,资源持有者密码模式(Resource Owner Password Credentials ):注意一下,这里的密码翻译的不正确,应该不单单指密码,使用证书也是可以的
。。。。。等
这里暂时只了解这四种常见的授权模式。
(三)添加受保护资源
1,VS 创建 “Asp.Net Core WebApi” 项目,并且添加 “OrderController” 控制器,并且新增相应的方法,此步骤暂时省略,详细代码我整理完成后,会添加到github上(文章底部的github链接)
2,安装:Microsoft.AspNetCore.Authentication.AzureAD.UI
3,需要注册验证服务,这个地方默认的是 “AzureADJwtBearer”,AddAzureADBearer方法绑定Azure AD身份验证终结点,租户,租户所在的自定义域,以及客户端Id
services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options));
开启Authentication中间件
// open authentication middleware
app.UseAuthentication();
4,在Azure Portal 上添加一个租户
4.1 在Azure Portal 上选择 菜单 “Azure Active Directory”

4.2,点击图中的 “创建目录”

4.3,目录选择默认 “Azure Active Directory”,点击 “下一步-配置”

4.4,添加对应的组织名称和初始域名,
组织名:myCommpany
初始域名:trainingdiscussion

点击 “产看+创建” 进行验证,验证完成后点击 “创建”
5,注册 “应用程序”
5.1,Azure Portal 点击个人头像,切换目录


5.2,选中刚刚创建的 “MyCompany” 的目录,继续在Portal首页左侧选择 “Azure Active Directory”,选中 “应用注册” ,点击 “新注册” 
5.3,填写应用注册的一些基本信息
(1)添加受保护的Api资源的名称,也就是我们在VS中创建的.Net Core 的 WebApi 项目,我这里暂时命名为 “WebApi”,
(2)选择支持的账户类型,我这里选择的是一个多租户的类型
(3)平台配置,选择 Web API,这里的平台配置怎么理解:就好在Web项目中是在成功验证用户身份后,会携带令牌,我们作为目标接受的URL,称其为 ”回调地址“

5.4, 点击 ”注册“,然后选择 ”管理“---》”身份验证“,点击”切换到旧体验“

5.5,找到隐式授权模式,勾选 ”访问令牌“,”ID令牌“两个复选框

OK,以上我们在Azure Portal 就配置好一个客户端的注册,
5.6,在此,我们真正在代码中开启验证的话,还需要4个参数,也就是上面提到的 ”自定义域(Domain)“,”租户Id(TenantId)“,”客户端Id(ClientId)“,”应用注册终结点(Instance)“
(1)Domain,TenantId (Domain 参数可以在创建目录时,先行复制好)

(2)ClientId:选择刚刚注册好的应用程序,进入应用程序页面后,找到对象Id 进行复制操作。


(3)Instance:每个国家都有一个单独的Azure门户。若要在应用程序中与Azure AD进行集成,需要在每个特定环境的Azure门户中单独注册应用程序。
所有用于验证应用程序的Azure AD终结点的URL也是不同的
适用于美国政府的 Azure AD :https://login.microsoftonline.us
Azure AD 德国 :https://login.microsoftonline.de
由世纪互联运营的 Azure AD 中国:https://login.chinacloudapi.cn
Azure AD(全球服务) :https://login.microsoftonline.com
例如,对于 Azure 中国:
- 授权常用终结点为:https://login.chinacloudapi.cn/common/oauth2/authorize
- 令牌常用终结点为 :https://login.chinacloudapi.cn/common/oauth2/token
对于单租户应用程序,请将先前 URL 中的“common”替换为你的租户 ID 或名称。 示例为 https://login.chinacloudapi.cn/myCommany。
6,配置文件中的内容如下所示
"AzureAd": {
"Instance": "https://login.chinacloudapi.cn/",
"Domain": "trainingdiscussion.partner.onmschina.cn",
"TenantId": "53359126-8bcf-455d-a934-5fe72d349207",
"ClientId": "f38ec09d-203e-4b2d-a1c1-faf76a608528"
},
给需要验证的方法或者控制器加上验证标签[Authorize]
详情请看完整代码
完整代码:
public class Startup
{
public Startup(IConfiguration configuration, IWebHostEnvironment environment)
{
Configuration = configuration;
Environment = environment;
} public IConfiguration Configuration { get; } public IWebHostEnvironment Environment { get; } // This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddSingleton(new Appsettings(Environment.ContentRootPath)); services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options)); services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new OpenApiInfo { Title = "My API", Version = "v1" });
c.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
{
Description = "JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}(注意两者之间是一个空格)\"",
Type = SecuritySchemeType.OAuth2,
In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
Flows = new OpenApiOAuthFlows()
{
Implicit = new OpenApiOAuthFlow
{
Scopes = new Dictionary<string, string>
{
{ "user_impersonation", "Access API" }
},
AuthorizationUrl = new Uri($"https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { "AzureAD", "TenantId" })}/oauth2/authorize") }
}
});
// 在header中添加token,传递到后台
c.OperationFilter<SecurityRequirementsOperationFilter>();
}); services.AddControllers();
} // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
} #region Swagger
app.UseSwagger();
app.UseSwaggerUI(c =>
{
//根据版本名称倒序 遍历展示
var ApiName = Appsettings.app(new string[] { "Startup", "ApiName" });
c.SwaggerEndpoint($"/swagger/v1/swagger.json", $"{ApiName} v1"); c.OAuthClientId(Appsettings.app(new string[] { "Swagger", "ClientId" }));
c.OAuthClientSecret(Appsettings.app(new string[] { "Swagger", "ClientSecret" }));
c.OAuthRealm(Appsettings.app(new string[] { "AzureAD", "ClientId" }));
c.OAuthAppName("My API V1");
c.OAuthScopeSeparator(" ");
c.OAuthAdditionalQueryStringParams(new Dictionary<string, string>() { { "resource", Appsettings.app(new string[] { "AzureAD", "ClientId" }) } });
});
#endregion // open authentication middleware
app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
}
startup.cs
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"AzureAd": {
"Instance": "https://login.chinacloudapi.cn/",
"Domain": "trainingdiscussion.partner.onmschina.cn",
"TenantId": "53359126-8bcf-455d-a934-5fe72d349207",
"ClientId": "f38ec09d-203e-4b2d-a1c1-faf76a608528"
},
"Swagger": {
"ClientId": "e15070c3-7e9a-40c0-b73f-2f34fb031641",
"ClientSecret": "" // ?fxV/=/pwlRjwQgoIdLRlPNlWBBQ8939
}
}
application.json
[Route("api/[controller]")]
[ApiController]
public class OrderController : ControllerBase
{
// GET: api/Order
[HttpGet]
[Authorize]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
// GET: api/Order/5
[HttpGet("{id}", Name = "Get")]
public string Get(int id)
{
return "value";
}
// POST: api/Order
[HttpPost]
public void Post([FromBody] string value)
{
}
// PUT: api/Order/5
[HttpPut("{id}")]
public void Put(int id, [FromBody] string value)
{
}
// DELETE: api/ApiWithActions/5
[HttpDelete("{id}")]
public void Delete(int id)
{
}
}
OrderController.cs
7,项目添加Swagger的配置,使用Swagger进行接口测试-
7.1:安装 Swashbuckle.AspNetCore,Swashbuckle.AspNetCore.Filters
7.1:配置 Swagger 服务,并且使用隐式授权模式
services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new OpenApiInfo { Title = "My API", Version = "v1" });
c.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
{
Description = "JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}(注意两者之间是一个空格)\"",
Type = SecuritySchemeType.OAuth2,
In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
Flows = new OpenApiOAuthFlows()
{
Implicit = new OpenApiOAuthFlow
{
AuthorizationUrl = new Uri($"https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { "AzureAD", "TenantId" })}/oauth2/authorize") }
}
});
// 在header中添加token,传递到后台
c.OperationFilter<SecurityRequirementsOperationFilter>();
});
7.3,开启中间件
app.UseSwagger();
app.UseSwaggerUI(c =>
{
//根据版本名称倒序 遍历展示
var ApiName = Appsettings.app(new string[] { "Startup", "ApiName" });
c.SwaggerEndpoint($"/swagger/v1/swagger.json", $"{ApiName} v1"); c.OAuthClientId(Appsettings.app(new string[] { "Swagger", "ClientId" }));
c.OAuthClientSecret(Appsettings.app(new string[] { "Swagger", "ClientSecret" }));
c.OAuthRealm(Appsettings.app(new string[] { "AzureAD", "ClientId" }));
c.OAuthAppName("My API V1");
c.OAuthScopeSeparator(" ");
c.OAuthAdditionalQueryStringParams(new Dictionary<string, string>() { { "resource", Appsettings.app(new string[] { "AzureAD", "ClientId" }) } });
});
详细代码,请看上面的的完整代码☝☝☝☝☝
7.4,注册应用程序(Swagger)
(1)现在,我们将为Swagger添加一个 "Azure AD" 应用程序,并授予它向 "Web API" 应用程序发出请求的权限
注意重定向URL的地址,这里需要配置 swagger 的回调地址,localhost:9021 是项目运行的地址
勾选启用隐式授权模式的 ”访问令牌“,”ID令牌“

(2)转到 WebApi 应用添加任意scope(scope名随便定义),那此应用的API将会被公开(暴露),我们这里添加了一个scope(读)
(3)将应用程序ID复制到appsettings中的Swagger:ClientId

(4)转到 “Swagger” 的应用注册点击”添加权限“---》“委托的权限” 来添加下面绿框架中的两个权限,管理员同意后,前端应用就拥有调用后端API的权限了。 



8,测试效果
启动项目,在项目的 “Swagger” 首页,点击 Try it out 尝试调用 api/order 接口,Response 提示 401 无访问权限

此时,我们可以在Swagger首页点击 ”Authorize“ ,验证和访问Api资源


登陆Azure账户,进行认证授权


再次调用 api/Order 接口 Response:200 OK

砰
Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API 上的更多相关文章
- Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API 下
一,引言 上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源,以及在项目中集成Swagger,并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的?本 ...
- List多个字段标识过滤 IIS发布.net core mvc web站点 ASP.NET Core 实战:构建带有版本控制的 API 接口 ASP.NET Core 实战:使用 ASP.NET Core Web API 和 Vue.js 搭建前后端分离项目 Using AutoFac
List多个字段标识过滤 class Program{ public static void Main(string[] args) { List<T> list = new List& ...
- ASP.NET Core Web API下事件驱动型架构的实现(二):事件处理器中对象生命周期的管理
在上文中,我介绍了事件驱动型架构的一种简单的实现,并演示了一个完整的事件派发.订阅和处理的流程.这种实现太简单了,百十行代码就展示了一个基本工作原理.然而,要将这样的解决方案运用到实际生产环境,还有很 ...
- ASP.NET Core Web API + Angular 仿B站(二)后台模型创建以及数据库的初始化
前言: 本系列文章主要为对所学 Angular 框架的一次微小的实践,对 b站页面作简单的模仿. 本系列文章主要参考资料: 微软文档: https://docs.microsoft.com/zh-cn ...
- .Net Core Web Api 上传女朋友的照片到微软云Azure Storage
前言 实现一个Web Api,把女朋友照片保存到Azure云的storage里. Image Upload Api 在对应的Api Controller里,加上attribute: [Consumes ...
- 在ASP dot Net Core MVC中用Controllers调用你的Asp dotnet Core Web API 实现CRUD到远程数据库中,构建你的分布式应用(附Git地址)
本文所有的东西都是在dot Net Core 1.1环境+VS2017保证测试通过. 本文接着上次文章接着写的,不了解上篇文章的可能看着有点吃力.我尽量让大家都能看懂.这是上篇文章的连接http:// ...
- ASP.NET Core Web Api之JWT VS Session VS Cookie(二)
前言 本文我们来探讨下JWT VS Session的问题,这个问题本没有过多的去思考,看到评论讨论太激烈,就花了一点时间去研究和总结,顺便说一句,这就是写博客的好处,一篇博客写出有的可能是经验积累,有 ...
- 微软Azure配置中心 App Configuration (一):轻松集成到Asp.Net Core
写在前面 在日常开发中,我这边比较熟悉的配置中心有,携程Apollo,阿里Nacos(配置中心,服务治理一体) 之前文章: Asp.Net Core与携程阿波罗(Apollo)的第一次亲密接触 总体来 ...
- 【翻译】使用Visual Studio在Azure上部署Asp.Net Core Web应用
配置运行环境 Install the latest Azure SDK for Visual Studio. The SDK installs Visual Studio if you don't a ...
随机推荐
- matlab计算相对功率
1.对脑电数据进行db4四层分解,因为脑电频率是在0-64HZ,分层后如图所示, 细节分量[d1 d2 d3 d4] 近似分量[a4] 重建细节分量和近似分量,然后计算对应频段得相对功率谱,重建出来得 ...
- 详解 普通数组 —— Arrays类 与 浅克隆
我们在C语言中,编一些代码量规模比较大的程序,几乎都会用到 "数组" 或 "链表" ,但是,在本人之前的博文中,却对这两个知识点从未提到过,那么,本人将通过这篇 ...
- 【题解】P2602 数字计数 - 数位dp
P2602 [ZJOI2010]数字计数 题目描述 给定两个正整数 \(a\) 和 \(b\) ,求在 \([a,b]\) 中的所有整数中,每个数码(digit)各出现了多少次. 输入格式 输入文件中 ...
- 重装anaconda的记录,包含设置jupyter kernel
anaconda安装记录 官网下载最新版 linux:sh xx.sh 注意不要敲太多回车,容易错过配置bash的部分,还要手动添加 (vim ~/.bashrc 手动添加新bash,卸载时也要删掉此 ...
- 如何保证kafka消息不丢失
背景 这里的kafka值得是broker,broker消息丢失的边界需要对齐一下: 1 已经提交的消息 2 有限度的持久化 如果消息没提交成功,并不是broke丢失了消息: 有限度的持久化(broke ...
- Javascript-异步详解
- 4.K均值算法--应用
1. 应用K-means算法进行图片压缩 读取一张图片 观察图片文件大小,占内存大小,图片数据结构,线性化 用kmeans对图片像素颜色进行聚类 获取每个像素的颜色类别,每个类别的颜色 压缩图片生成: ...
- 微信小程序弹出层动画特效
.rules_modal_cont{ height:800rpx; width:200rpx; -webkit-animation: showZeroAlert .3s; animation: sho ...
- 2019-2020-1 20199329 第二周测试(环境:ubuntu64位)
2019-2020-1 20199329 第二周测试(环境:ubuntu64位) 实验一 0.每个.c一个文件,每个.h一个文件,文件名中最好有自己的学号 1.用Vi输入图中代码,并用gcc编译通过 ...
- 利用python画出SJF调度图
最先发布在csdn.本人原创. https://blog.csdn.net/weixin_43906799/article/details/105510046 SJF算法: 最短作业优先(SJF)调度 ...