背景
当我们使用Azure Container Apps时,我们有特殊的身份验证需求,因为我们使用的是OpenID Connect提供程序,如果我们必须在查询字符串中添加一些内容,以便初始重定向到登录到我们应用程序的特定租户的提供程序。此外,我们使用的IDP仅支持";authorization_code";流动并且不允许两个";令牌";以及";id_token";将被退回。
有了这一点,我们开始了创造一种";中间件";我们用来重定向到的更改了URL,然后只是重定向到实际的IDP。为了实现这一点,我们还将";redirect_uri";部分回拨到此";中间件";用";authorization_token";。
当我们得到回调时,我们返回IDP并将代码交换为id_token和access_token。
然后,我们想使用Azure容器应用程序的客户端定向登录方法来获得authorization_token,我们可以将其作为HTTP标头X-ZUMO-AUTH传递回来,如文档中所述。
问题是,当我们发布到容器应用程序.auth/login/<auth-provider-name>时,我们会收到一个错误,说颁发者验证失败(IDX10205):
{
"code": 401,
"message": "IDX10205: Issuer validation failed. Issuer: '[PII is hidden]'. Did not match: validationParameters.ValidIssuer: '[PII is hidden]' or validationParameters.ValidIssuers: '[PII is hidden]'."
}
不确定预期的发行人是谁。JWT的发行人是我们所期待的,IDP的发行人。
这都是我。没有其他人:)
在配置身份验证提供程序时,我想出了一个绝妙的主意,即清除颁发者URL,并删除了尾部斜杠。不喜欢这样,伤害眼睛:)
放回原处,我突然得到authenticationToken。
虽然陷入了一个循环,但这需要更多的调查,然后我才能在这里提出另一个问题。