我正在开发一个应用程序,该应用程序将托管在Azure应用程序服务环境中,该环境由前端Web应用程序、后端Web API和SQL数据库(使用Azure SQL(组成。前端Web应用程序是Razor Pages应用程序。我们正在尝试使用Microsoft Identity Platform(通过Microsoft.Identity.Web和Microsoft.Identiity.Web.UI库(在需要时获取API的访问令牌。
它第一次运行得很好,但一旦获取并缓存了令牌——如果重新启动应用程序,它就会失败,并出现以下错误:
IDW10502:由于用户遇到挑战,引发了MsalUiRequiredException。看见https://aka.ms/ms-id-web/ca_incremental-consent.
没有向AcquireTokenSilent调用传递任何帐户或登录提示。
启动配置是(我尝试过各种变体(:
public void ConfigureServices(IServiceCollection services)
{
services.AddDistributedMemoryCache();
services.Configure<CookiePolicyOptions>(options =>
{
options.CheckConsentNeeded = context => true;
options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
options.HandleSameSiteCookieCompatibility();
});
services.AddOptions();
services.AddMicrosoftIdentityWebAppAuthentication(Configuration)
.EnableTokenAcquisitionToCallDownstreamApi(new string[] { Configuration["Api:Scopes"] })
.AddInMemoryTokenCaches();
services.AddControllersWithViews(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
}).AddMicrosoftIdentityUI();
services.AddRazorPages().AddRazorRuntimeCompilation().AddMvcOptions(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
});
services.AddMvc();
//Other stuff...
}
我已经尝试了很多天,试图找到解决这一问题的方法。我能赶上错误,但我们无法通过编程方式采取任何操作来解决问题(ITokenAcquisition接口不提供强制交互式登录的选项(。
我发现这只是RazorPages应用程序中的一个问题——一个启动代码几乎相同的基于控制器的MVC Web应用程序不会出现问题。
我还发现,通过创建一个基于控制器的测试MVC Web应用程序,并将其配置为与我们遇到问题的应用程序相同的客户端id、租户id等,然后在主应用程序出现问题时立即启动它(在Visual Studio开发环境中(,我每次都可以可靠地清除错误。然而,这显然不是一个可行的长期解决方案。
我在每个主要的技术论坛上都搜索过这个问题,并看到了许多类似的问题,但没有一个能解决这个确切的问题。
复制:
- 创建一个ASP.NET Core 3.1 Web API
- 创建一个可调用API的ASP.NET Core 3.1 Razor Pages Web应用程序
- 向Azure Active Directory注册并配置应用程序以请求令牌访问API(根据各种MS文档(
- 运行-如果一切设置正确,登录屏幕将出现,所有操作都将正常
- 停止Web应用程序,等待几分钟,然后重新启动。现在将出现上面的错误
我已经向Microsoft提出了对它的支持请求-有其他人遇到过这个问题并找到了解决方案吗?
我终于弄清了真相,这在很大程度上要归功于:https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/issues/216#issuecomment-560150172
总结一下——对于其他有这个问题的人:
- 在第一次调用web应用程序时,您没有登录,因此会重定向到Microsoft Identity Platform登录,该登录会让您登录并发出访问令牌
- 访问令牌通过回调存储在内存内令牌缓存中
- 然后所有操作都按预期进行,因为令牌在缓存中
- 当您停止,然后在合理的短时间内重新启动web应用程序时,它会使用身份验证cookie来获取当前登录信息,因此它不会访问Identity Platform,您也不会获得访问令牌
- 当您请求令牌时,缓存是空的,因此它会抛出MsalUiRequiredException
在任何文档中都没有真正明确的是,这是应该发生的,而这个异常是由";AuthorizeForScopes";属性,但前提是您允许异常一直发生,并且不尝试处理它。
另一个问题是,在Razor Pages应用程序中,每个页面的普通AuthorizeForScopes属性必须高于模型类定义,如果您错过了一个,可能会引发上述问题。
由";jasonshad"在链接的文章中,通过用过滤器替换属性来解决这个问题,因此它将应用于所有页面。
也许我有点老派,但将未处理的异常作为计划的程序控制流的一部分的想法并不适合我——至少应该明确这是我的意图。不管怎样,问题现在解决了。