我有一个Angular 2应用程序,我正在对Azure AD进行身份验证,然后调用已开发的WebApi来获取其他信息。
我首先将窗口位置更改为Azure登录页面的SSO
window.location.href = "https://login.microsoftonline.com/" +
this.tenantId +
"/oauth2/authorize?" +
"response_type=id_token+token&" +
"response_mode=fragment&" +
"client_id=" + this.clientId + "&" +
"redirect_uri=" + encodeURIComponent(window.location.href) + "/&" +
"scope=openid&" +
"state=" + this.state + "&" +
"nonce=" + this.nonce;
然后我从哈希中获得access_token参数,并将其传递给调用我的Api的服务
从Angular 2调用WebApi
public testApi(token): Observable<any> {
let headers = new Headers({
'Authorization': 'Bearer ' + token, 'Accept': 'application/json; odata.metadata=minimal' });
let options = new RequestOptions({ headers: headers });
return this.httpService.get('/api/values', options)
.map((response: Response) => response.json());
}
此呼叫返回401,并带有以下消息
承载错误="invalid_token", error_description="签名无效"
环顾四周后,我认为这可能是我如何在我的Api端设置OWIN,但在阅读MSFT文档后,它应该是这样的
在Statup.cs中配置Section
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
Authority = Configuration["Authentication:AzureAd:AADInstance"] + Configuration["Authentication:AzureAd:TenantId"],
Audience = Configuration["Authentication:AzureAd:Audience"]
});
appsettings.json
"Authentication": {
"AzureAd": {
"AADInstance": "https://login.microsoftonline.com/",
"Audience": "https://isaaclevin.com/testlogin",
"ClientId": "26931518-d4e2-4ad7-bc78-64857754bbf3",
"Domain": "isaaclevin.com",
"TenantId": "3335f25c-177f-424d-96cc-5a5a3d1798cd"
}
[Authorize]
[Route("api/[controller]")]
public class ValuesController : Controller
{
// GET api/values
[HttpGet]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
}
不太确定我在这里做错了什么,但这是一个真实的问题。如果我取消[Authorize]属性,api调用就可以工作(但这是显而易见的)。我正在客户端验证令牌,它工作得很好。
为了解决这个问题,我必须将资源添加到登录调用中。我现在遇到了一个问题,不断的要求。