Mengamankan aplikasi mandiri ASP.NET Core Blazor WebAssembly dengan Azure Active Directory B2C

Artikel ini menjelaskan cara membuat aplikasi mandiri Blazor WebAssembly yang menggunakan Azure Active Directory (AAD) B2C untuk autentikasi.

Untuk cakupan skenario keamanan tambahan setelah membaca artikel ini, lihat skenario keamanan tambahan ASP.NET CoreBlazor WebAssembly.

Panduan

Sub bagian dari panduan menjelaskan cara:

• Membuat penyewa di Azure
• Mendaftarkan aplikasi di Azure
• Blazor Membuat aplikasi
• Menjalankan aplikasi

Membuat penyewa di Azure

Ikuti panduan dalam Tutorial: Membuat penyewa Azure Active Directory B2C untuk membuat penyewa AAD B2C.

Sebelum melanjutkan panduan artikel ini, konfirmasikan bahwa Anda telah memilih direktori yang benar untuk penyewa AAD B2C.

Mendaftarkan aplikasi di Azure

Daftarkan aplikasi AAD B2C:

1. Navigasi ke Azure AD B2C di portal Azure. Pilih Pendaftaran aplikasi di bar samping. Pilih tombol Pendaftaran baru.
2. Berikan Nama untuk aplikasi (misalnya,BlazorAAD B2C Mandiri).
3. Untuk Jenis akun yang didukung, pilih opsi multi-penyewa: Akun di direktori organisasi atau idP apa pun. Untuk mengautentikasi pengguna dengan Azure AD B2C.
4. Atur daftar dropdown URI Pengalihan ke Aplikasi halaman tunggal (SPA) dan berikan URI pengalihan berikut: https://localhost/authentication/login-callback. Jika Anda mengetahui URI pengalihan produksi untuk host default Azure (misalnya, azurewebsites.net) atau host domain kustom (misalnya, contoso.com), Anda juga dapat menambahkan URI pengalihan produksi pada saat yang sama saat Anda menyediakan localhost URI pengalihan. Pastikan untuk menyertakan nomor port untuk non-port:443 dalam URI pengalihan produksi apa pun yang Anda tambahkan.
5. Jika Anda menggunakan domain penerbit yang belum diverifikasi, konfirmasikan bahwa Izin>Memberikan persetujuan admin untuk izin openid dan offline_access dipilih. Jika domain penerbit diverifikasi, kotak centang ini tidak ada.
6. Pilih Daftarkan.

Catatan

Menyediakan nomor port untuk localhost URI pengalihan AAD B2C tidak diperlukan. Untuk informasi selengkapnya, lihat Mengalihkan pembatasan dan batasan URI (URL balasan): Pengecualian localhost (Dokumentasi Entra).

Catat informasi berikut:

• ID aplikasi (klien) (misalnya, 41451fa7-82d9-4673-8fa5-69eff5a761fd).
• Instans AAD B2C (misalnya, https://contoso.b2clogin.com/, yang mencakup garis miring berikutnya): Instans adalah skema dan host pendaftaran aplikasi Azure B2C, yang dapat ditemukan dengan membuka jendela Titik Akhir dari halaman Pendaftaran aplikasi di portal Azure.
• Domain Primer/Penerbit/Penyewa AAD B2C (misalnya, contoso.onmicrosoft.com): Domain tersedia sebagai domain Penerbit di bilah Branding portal Azure untuk aplikasi terdaftar.

Dalam konfigurasi>Platform Autentikasi>Aplikasi halaman tunggal:

1. Konfirmasikan URI https://localhost/authentication/login-callback pengalihan ada.
2. Di bagian Pemberian implisit, pastikan bahwa kotak centang untuk token Akses dan token ID tidak dipilih. Pemberian implisit tidak disarankan untuk Blazor aplikasi menggunakan MSAL v2.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Mengamankan ASP.NET Core Blazor WebAssembly.
3. Default yang tersisa untuk aplikasi dapat diterima untuk pengalaman ini.
4. Pilih tombol Simpan jika Anda membuat perubahan.

Di Home>Alur Pengguna Azure AD B2C>:

Membuat alur pengguna pendaftaran dan masuk

Minimal, pilih atribut pengguna Nama Tampilan klaim>Aplikasi untuk mengisi/context.User.Identity.Namecontext.User.Identity?.Namedalam LoginDisplay komponen ().Shared/LoginDisplay.razor

Rekam nama alur pengguna pendaftaran dan masuk yang dibuat untuk aplikasi (misalnya, B2C_1_signupsignin).

Blazor Membuat aplikasi

Di folder kosong, ganti tempat penampung dalam perintah berikut dengan informasi yang direkam sebelumnya dan jalankan perintah dalam shell perintah:

dotnet new blazorwasm -au IndividualB2C --aad-b2c-instance "{AAD B2C INSTANCE}" --client-id "{CLIENT ID}" --domain "{TENANT DOMAIN}" -o {PROJECT NAME} -ssp "{SIGN UP OR SIGN IN POLICY}"

Placeholder	Nama portal Microsoft Azure	Contoh
{AAD B2C INSTANCE}	Instans	https://contoso.b2clogin.com/ (termasuk garis miring berikutnya)
{PROJECT NAME}	—	BlazorSample
{CLIENT ID}	Aplikasi (ID klien)	41451fa7-82d9-4673-8fa5-69eff5a761fd
{SIGN UP OR SIGN IN POLICY}	Alur pengguna pendaftaran/masuk	B2C_1_signupsignin1
{TENANT DOMAIN}	Domain Primer/Penerbit/Penyewa	contoso.onmicrosoft.com

Lokasi output yang ditentukan dengan -o|--output opsi membuat folder proyek jika tidak ada dan menjadi bagian dari nama proyek.

Tambahkan sepasang MsalProviderOptions untuk openid dan offline_accessDefaultAccessTokenScopes:

builder.Services.AddMsalAuthentication(options =>
{
    ...
    options.ProviderOptions.DefaultAccessTokenScopes.Add("openid");
    options.ProviderOptions.DefaultAccessTokenScopes.Add("offline_access");
});

Setelah membuat aplikasi, Anda harus dapat:

• Masuk ke aplikasi menggunakan akun pengguna ID Microsoft Entra.
• Meminta token akses untuk API Microsoft. Untuk mengetahui informasi selengkapnya, silakan lihat:
  • Cakupan token akses
  • Mulai cepat: Mengonfigurasi aplikasi untuk mengekspos API web.

Menjalankan aplikasi

Gunakan salah satu pendekatan berikut untuk menjalankan aplikasi:

• Visual Studio
  • Pilih tombol Jalankan.
  • Gunakan Debug>Mulai Debugging dari menu.
  • Tekan F5.
• Shell perintah .NET CLI: Jalankan dotnet run perintah dari folder aplikasi.

Bagian aplikasi

Bagian ini menjelaskan bagian aplikasi yang dihasilkan dari Blazor WebAssembly templat proyek dan cara aplikasi dikonfigurasi. Tidak ada panduan khusus untuk diikuti di bagian ini untuk aplikasi kerja dasar jika Anda membuat aplikasi menggunakan panduan di bagian Penelusuran . Panduan di bagian ini berguna untuk memperbarui aplikasi untuk mengautentikasi dan mengotorisasi pengguna. Namun, pendekatan alternatif untuk memperbarui aplikasi adalah membuat aplikasi baru dari panduan di bagian Penelusuran dan memindahkan komponen, kelas, dan sumber daya aplikasi ke aplikasi baru.

Paket autentikasi

Saat aplikasi dibuat untuk menggunakan Akun B2C Individual (IndividualB2C), aplikasi secara otomatis menerima referensi paket untuk Pustaka Autentikasi Microsoft (Microsoft.Authentication.WebAssembly.Msal). Paket ini menyediakan sekumpulan primitif yang membantu aplikasi mengautentikasi pengguna dan mendapatkan token untuk memanggil API yang dilindungi.

Jika menambahkan autentikasi ke aplikasi, tambahkan Microsoft.Authentication.WebAssembly.Msal paket secara manual ke aplikasi.

Catatan

Untuk panduan tentang menambahkan paket ke aplikasi .NET, lihat artikel di bagian Menginstal dan mengelola paket di Alur kerja konsumsi paket (dokumentasi NuGet). Konfirmasikan versi paket yang benar di NuGet.org.

Paket Microsoft.Authentication.WebAssembly.Msal secara transitif menambahkan Microsoft.AspNetCore.Components.WebAssembly.Authentication paket ke aplikasi.

Dukungan layanan autentikasi

Dukungan untuk mengautentikasi pengguna terdaftar dalam kontainer layanan dengan AddMsalAuthentication metode ekstensi yang disediakan oleh Microsoft.Authentication.WebAssembly.Msal paket. Metode ini menyiapkan semua layanan yang diperlukan aplikasi untuk berinteraksi dengan Identity Penyedia (IP).

Dalam file Program:

builder.Services.AddMsalAuthentication(options =>
{
    builder.Configuration.Bind("AzureAdB2C", options.ProviderOptions.Authentication);
});

Metode ini AddMsalAuthentication menerima panggilan balik untuk mengonfigurasi parameter yang diperlukan untuk mengautentikasi aplikasi. Nilai yang diperlukan untuk mengonfigurasi aplikasi dapat diperoleh dari konfigurasi saat Anda mendaftarkan aplikasi.

Konfigurasi disediakan oleh wwwroot/appsettings.json file:

{
  "AzureAdB2C": {
    "Authority": "{AAD B2C INSTANCE}{TENANT DOMAIN}/{SIGN UP OR SIGN IN POLICY}",
    "ClientId": "{CLIENT ID}",
    "ValidateAuthority": false
  }
}

Dalam konfigurasi sebelumnya, {AAD B2C INSTANCE} menyertakan garis miring berikutnya.

Contoh:

{
  "AzureAdB2C": {
    "Authority": "https://contoso.b2clogin.com/contoso.onmicrosoft.com/B2C_1_signupsignin1",
    "ClientId": "41451fa7-82d9-4673-8fa5-69eff5a761fd",
    "ValidateAuthority": false
  }
}

Cakupan token akses

Blazor WebAssembly Templat tidak secara otomatis mengonfigurasi aplikasi untuk meminta token akses untuk API yang aman. Untuk menyediakan token akses sebagai bagian dari alur masuk, tambahkan cakupan ke cakupan token akses default dari MsalProviderOptions:

builder.Services.AddMsalAuthentication(options =>
{
    ...
    options.ProviderOptions.DefaultAccessTokenScopes.Add("{SCOPE URI}");
});

Tentukan cakupan tambahan dengan AdditionalScopesToConsent:

options.ProviderOptions.AdditionalScopesToConsent.Add("{ADDITIONAL SCOPE URI}");

Catatan

AdditionalScopesToConsent tidak dapat menyediakan izin pengguna yang didelegasikan untuk Microsoft Graph melalui UI persetujuan ID Microsoft Entra saat pengguna pertama kali menggunakan aplikasi yang terdaftar di Microsoft Azure. Untuk informasi selengkapnya, lihat Menggunakan Graph API dengan ASP.NET Core Blazor WebAssembly.

Untuk informasi selengkapnya, lihat bagian berikut dari artikel Skenario tambahan:

• Meminta token akses tambahan
• Melampirkan token ke permintaan keluar

Mode masuk

Kerangka kerja default ke mode masuk pop-up dan kembali ke mode masuk pengalihan jika pop-up tidak dapat dibuka. Konfigurasikan MSAL untuk menggunakan mode masuk pengalihan dengan mengatur LoginMode properti ke redirectMsalProviderOptions :

builder.Services.AddMsalAuthentication(options =>
{
    ...
    options.ProviderOptions.LoginMode = "redirect";
});

Pengaturan default adalah popup, dan nilai string tidak peka huruf besar/kecil.

Mengimpor file

Namespace Microsoft.AspNetCore.Components.Authorization tersedia di seluruh aplikasi melalui _Imports.razor file:

@using System.Net.Http
@using System.Net.Http.Json
@using Microsoft.AspNetCore.Components.Authorization
@using Microsoft.AspNetCore.Components.Forms
@using Microsoft.AspNetCore.Components.Routing
@using Microsoft.AspNetCore.Components.Web
@using Microsoft.AspNetCore.Components.Web.Virtualization
@using Microsoft.AspNetCore.Components.WebAssembly.Http
@using Microsoft.JSInterop
@using {APPLICATION ASSEMBLY}
@using {APPLICATION ASSEMBLY}.Shared

Halaman indeks

Halaman Indeks (wwwroot/index.html) menyertakan skrip yang menentukan AuthenticationService di JavaScript. AuthenticationService menangani detail tingkat rendah protokol OIDC. Aplikasi secara internal memanggil metode yang ditentukan dalam skrip untuk melakukan operasi autentikasi.

<script src="_content/Microsoft.Authentication.WebAssembly.Msal/AuthenticationService.js"></script>

Komponen aplikasi

Komponen App (App.razor) mirip dengan komponen yang App ditemukan di Blazor Server aplikasi:

• Komponen AuthorizeRouteView memastikan bahwa pengguna saat ini berwenang untuk mengakses halaman tertentu atau merender RedirectToLogin komponen.
• Komponen RedirectToLogin mengelola pengalihan pengguna yang tidak sah ke halaman masuk.

Karena perubahan dalam kerangka kerja di seluruh rilis ASP.NET Core, Razor markup untuk App komponen (App.razor) tidak ditampilkan di bagian ini. Untuk memeriksa markup komponen untuk rilis tertentu, gunakan salah satu pendekatan berikut:

• Buat aplikasi yang disediakan untuk autentikasi dari templat proyek default Blazor WebAssembly untuk versi ASP.NET Core yang ingin Anda gunakan. App Periksa komponen (App.razor) di aplikasi yang dihasilkan.

• App Periksa komponen (App.razor) di sumber referensi. Pilih versi dari pemilih cabang, dan cari komponen di ProjectTemplates folder repositori karena telah dipindahkan selama bertahun-tahun.

  Catatan

  Tautan dokumentasi ke sumber referensi .NET biasanya memuat cabang default repositori, yang mewakili pengembangan saat ini untuk rilis .NET berikutnya. Untuk memilih tag rilis tertentu, gunakan daftar dropdown Beralih cabang atau tag. Untuk informasi lebih lanjut, lihat Cara memilih tag versi kode sumber ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponen RedirectToLogin

Komponen RedirectToLogin (RedirectToLogin.razor):

• Mengelola pengalihan pengguna yang tidak sah ke halaman masuk.
• URL saat ini yang coba diakses pengguna dipertahankan oleh sehingga mereka dapat dikembalikan ke halaman tersebut jika autentikasi berhasil menggunakan:
  • Status riwayat navigasi di ASP.NET Core di .NET 7 atau yang lebih baru.
  • String kueri di ASP.NET Core di .NET 6 atau yang lebih lama.

RedirectToLogin Periksa komponen dalam sumber referensi. Lokasi komponen berubah dari waktu ke waktu, jadi gunakan alat pencarian GitHub untuk menemukan komponen.

Catatan

Tautan dokumentasi ke sumber referensi .NET biasanya memuat cabang default repositori, yang mewakili pengembangan saat ini untuk rilis .NET berikutnya. Untuk memilih tag rilis tertentu, gunakan daftar dropdown Beralih cabang atau tag. Untuk informasi lebih lanjut, lihat Cara memilih tag versi kode sumber ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponen LoginDisplay

Komponen LoginDisplay (LoginDisplay.razor) dirender dalam MainLayout komponen (MainLayout.razor) dan mengelola perilaku berikut:

• Untuk pengguna terautentikasi:
  • Menampilkan nama pengguna saat ini.
  • Menawarkan tautan ke halaman profil pengguna di ASP.NET Core Identity.
  • Menawarkan tombol untuk keluar dari aplikasi.
• Untuk pengguna anonim:
  • Menawarkan opsi untuk mendaftar.
  • Menawarkan opsi untuk masuk.

Karena perubahan dalam kerangka kerja di seluruh rilis ASP.NET Core, Razor markup untuk LoginDisplay komponen tidak ditampilkan di bagian ini. Untuk memeriksa markup komponen untuk rilis tertentu, gunakan salah satu pendekatan berikut:

• Buat aplikasi yang disediakan untuk autentikasi dari templat proyek default Blazor WebAssembly untuk versi ASP.NET Core yang ingin Anda gunakan. LoginDisplay Periksa komponen di aplikasi yang dihasilkan.

• LoginDisplay Periksa komponen dalam sumber referensi. Lokasi komponen berubah dari waktu ke waktu, jadi gunakan alat pencarian GitHub untuk menemukan komponen. Konten templat untuk Hosted sama dengan true yang digunakan.

  Catatan

  Tautan dokumentasi ke sumber referensi .NET biasanya memuat cabang default repositori, yang mewakili pengembangan saat ini untuk rilis .NET berikutnya. Untuk memilih tag rilis tertentu, gunakan daftar dropdown Beralih cabang atau tag. Untuk informasi lebih lanjut, lihat Cara memilih tag versi kode sumber ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponen autentikasi

Halaman yang dihasilkan oleh Authentication komponen (Pages/Authentication.razor) menentukan rute yang diperlukan untuk menangani tahap autentikasi yang berbeda.

Komponen RemoteAuthenticatorView :

• Disediakan oleh Microsoft.AspNetCore.Components.WebAssembly.Authentication paket.
• Mengelola melakukan tindakan yang sesuai pada setiap tahap autentikasi.

@page "/authentication/{action}"
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication

<RemoteAuthenticatorView Action="Action" />

@code {
    [Parameter]
    public string? Action { get; set; }
}

Catatan

Jenis referensi nullable (NRTs) dan .NET compiler null-state static analysis didukung di ASP.NET Core di .NET 6 atau yang lebih baru. Sebelum rilis ASP.NET Core di .NET 6, string jenis muncul tanpa penunjukan jenis null (?).

Kebijakan kustom

Pustaka Autentikasi Microsoft (Microsoft.Authentication.WebAssembly.Msal, paket NuGet) tidak mendukung kebijakan kustom AAD B2C secara default.

Pecahkan masalah

Pencatatan

Untuk mengaktifkan pencatatan log debug atau pelacakan untuk Blazor WebAssembly autentikasi, lihat bagian Pengelogan autentikasi sisi klien ASP.NET Pengelogan core Blazor dengan pemilih versi artikel diatur ke ASP.NET Core 7.0 atau yang lebih baru.

Kesalahan umum

• Kesalahan konfigurasi aplikasi atau Identity Penyedia (IP)

  Kesalahan yang paling umum disebabkan oleh konfigurasi yang salah. Berikut ini adalah beberapa contohnya:

  • Bergantung pada persyaratan skenario, Otoritas, Instans, ID Penyewa, DOMAIN Penyewa, ID Klien, atau URI Pengalihan yang hilang atau salah mencegah aplikasi mengautentikasi klien.
  • Cakupan permintaan yang salah mencegah klien mengakses titik akhir API web server.
  • Izin API server yang salah atau hilang mencegah klien mengakses titik akhir API web server.
  • Menjalankan aplikasi di port yang berbeda dari yang dikonfigurasi di URI Pengalihan pendaftaran aplikasi IP. Perhatikan bahwa port tidak diperlukan untuk ID Microsoft Entra dan aplikasi yang berjalan di localhost alamat pengujian pengembangan, tetapi konfigurasi port aplikasi dan port tempat aplikasi berjalan harus cocok untuk non-alamatlocalhost .

  Bagian konfigurasi dari panduan artikel ini menunjukkan contoh konfigurasi yang benar. Periksa dengan cermat setiap bagian artikel yang mencari kesalahan konfigurasi aplikasi dan IP.

  Jika konfigurasi muncul dengan benar:

  • Menganalisis log aplikasi.

  • Periksa lalu lintas jaringan antara aplikasi klien dan IP atau aplikasi server dengan alat pengembang browser. Seringkali, pesan kesalahan yang tepat atau pesan dengan petunjuk tentang apa yang menyebabkan masalah dikembalikan ke klien oleh IP atau aplikasi server setelah membuat permintaan. Alat pengembang panduan ditemukan dalam artikel berikut:

    • Google Chrome (dokumentasi Google)
    • Microsoft Edge
    • Mozilla Firefox (dokumentasi Mozilla)

  • Untuk rilis Blazor tempat JSON Web Token (JWT) digunakan, dekode konten token yang digunakan untuk mengautentikasi klien atau mengakses API web server, tergantung di mana masalah terjadi. Untuk informasi selengkapnya, lihat Memeriksa konten JSON Web Token (JWT).

  Tim dokumentasi menanggapi umpan balik dokumen dan bug dalam artikel (buka masalah dari bagian Umpan balik halaman ini) tetapi tidak dapat memberikan dukungan produk. Beberapa forum dukungan publik tersedia untuk membantu memecahkan masalah aplikasi. Kami merekomendasikan hal-hal berikut:

  • Stack Overflow (tag: blazor)
  • Tim Slack ASP.NET Core
  • Blazor Gitter

  Forum sebelumnya tidak dimiliki atau dikendalikan oleh Microsoft.

  Untuk laporan bug kerangka kerja non-keamanan, non-sensitif, dan non-rahasia yang dapat direproduksi, buka masalah dengan unit produk ASP.NET Core. Jangan buka masalah dengan unit produk sampai Anda menyelidiki penyebab masalah secara menyeluruh dan tidak dapat menyelesaikannya sendiri dan dengan bantuan komunitas di forum dukungan publik. Unit produk tidak dapat memecahkan masalah aplikasi individual yang rusak karena kesalahan konfigurasi sederhana atau kasus penggunaan yang melibatkan layanan pihak ketiga. Jika laporan bersifat sensitif atau rahasia atau menggambarkan potensi kelemahan keamanan dalam produk yang dapat dieksploitasi penyerang, lihat Melaporkan masalah keamanan dan bug (dotnet/aspnetcore repositori GitHub).

• Klien yang tidak sah untuk ME-ID

  info: Otorisasi Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2] gagal. Persyaratan ini tidak terpenuhi: DenyAnonymousAuthorizationRequirement: Memerlukan pengguna yang diautentikasi.

  Kesalahan panggilan balik masuk dari ME-ID:

  • Kesalahan: unauthorized_client
  • Deskripsi: AADB2C90058: The provided application is not configured to allow public clients.

  Untuk mengatasi masalah ini:

  1. Di portal Azure, akses manifes aplikasi.
  2. Atur atribut ke nullallowPublicClient atau true.

Cookies dan data situs

Cookiedata s dan situs dapat bertahan di seluruh pembaruan aplikasi dan mengganggu pengujian dan pemecahan masalah. Hapus hal berikut saat membuat perubahan kode aplikasi, perubahan akun pengguna dengan penyedia, atau perubahan konfigurasi aplikasi penyedia:

• Rincian masuk cookiepengguna
• Aplikasi cookies
• Data situs yang di-cache dan disimpan

Salah satu pendekatan untuk mencegah cookiedata situs dan yang masih ada mengganggu pengujian dan pemecahan masalah adalah dengan:

• Mengonfigurasi browser
  • Gunakan browser untuk pengujian yang dapat Anda konfigurasi untuk menghapus semua cookie dan data situs setiap kali browser ditutup.
  • Pastikan browser ditutup secara manual atau oleh IDE untuk setiap perubahan pada aplikasi, pengguna uji, atau konfigurasi penyedia.
• Gunakan perintah kustom untuk membuka browser dalam mode InPrivate atau Penyamaran di Visual Studio:
  • Buka kotak dialog Telusuri Dengan dari tombol Jalankan Visual Studio.
  • Pilih tombol Tambahkan.
  • Berikan jalur ke browser Anda di bidang Program . Jalur yang dapat dieksekusi berikut adalah lokasi penginstalan umum untuk Windows 10. Jika browser Anda diinstal di lokasi yang berbeda atau Anda tidak menggunakan Windows 10, berikan jalur ke browser yang dapat dieksekusi.
    • Microsoft Edge: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
    • Google Chrome: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    • Mozilla Firefox: C:\Program Files\Mozilla Firefox\firefox.exe
  • Di bidang Argumen, berikan opsi baris perintah yang digunakan browser untuk membuka dalam mode InPrivate atau Penyamaran. Beberapa browser memerlukan URL aplikasi.
    • Microsoft Edge: Gunakan -inprivate.
    • Google Chrome: Gunakan --incognito --new-window {URL}, di mana tempat penampung {URL} adalah URL untuk dibuka (misalnya, https://localhost:5001).
    • Mozilla Firefox: Gunakan -private -url {URL}, di mana tempat penampung {URL} adalah URL untuk dibuka (misalnya, https://localhost:5001).
  • Berikan nama di bidang Nama yang mudah diingat. Contohnya,Firefox Auth Testing.
  • Pilih tombol OK.
  • Untuk menghindari harus memilih profil browser untuk setiap iterasi pengujian dengan aplikasi, atur profil sebagai default dengan tombol Atur sebagai Default .
  • Pastikan bahwa browser ditutup oleh IDE untuk setiap perubahan pada aplikasi, pengguna uji, atau konfigurasi penyedia.

Peningkatan aplikasi

Aplikasi yang berfungsi mungkin gagal segera setelah meningkatkan .NET Core SDK pada komputer pengembangan atau mengubah versi paket dalam aplikasi. Dalam beberapa kasus, paket yang tidak melekat dapat merusak aplikasi saat melakukan peningkatan besar. Sebagian besar masalah ini dapat diperbaiki dengan mengikuti instruksi berikut:

1. Hapus cache paket NuGet sistem lokal dengan mengeksekusi dotnet nuget locals all --clear dari shell perintah.
2. Hapus folder dan obj proyekbin.
3. Pulihkan dan bangun ulang proyek.
4. Hapus semua file di folder penyebaran di server sebelum menyebarkan ulang aplikasi.

Catatan

Penggunaan versi paket yang tidak kompatibel dengan kerangka kerja target aplikasi tidak didukung. Untuk informasi tentang paket, gunakan Galeri NuGet atau Penjelajah Paket FuGet.

Memeriksa pengguna

Komponen berikut User dapat digunakan langsung di aplikasi atau berfungsi sebagai dasar untuk penyesuaian lebih lanjut.

User.razor:

@page "/user"
@attribute [Authorize]
@using System.Text.Json
@using System.Security.Claims
@inject IAccessTokenProvider AuthorizationService

<h1>@AuthenticatedUser?.Identity?.Name</h1>

<h2>Claims</h2>

@foreach (var claim in AuthenticatedUser?.Claims ?? Array.Empty<Claim>())
{
    <p class="claim">@(claim.Type): @claim.Value</p>
}

<h2>Access token</h2>

<p id="access-token">@AccessToken?.Value</p>

<h2>Access token claims</h2>

@foreach (var claim in GetAccessTokenClaims())
{
    <p>@(claim.Key): @claim.Value.ToString()</p>
}

@if (AccessToken != null)
{
    <h2>Access token expires</h2>

    <p>Current time: <span id="current-time">@DateTimeOffset.Now</span></p>
    <p id="access-token-expires">@AccessToken.Expires</p>

    <h2>Access token granted scopes (as reported by the API)</h2>

    @foreach (var scope in AccessToken.GrantedScopes)
    {
        <p>Scope: @scope</p>
    }
}

@code {
    [CascadingParameter]
    private Task<AuthenticationState> AuthenticationState { get; set; }

    public ClaimsPrincipal AuthenticatedUser { get; set; }
    public AccessToken AccessToken { get; set; }

    protected override async Task OnInitializedAsync()
    {
        await base.OnInitializedAsync();
        var state = await AuthenticationState;
        var accessTokenResult = await AuthorizationService.RequestAccessToken();

        if (!accessTokenResult.TryGetToken(out var token))
        {
            throw new InvalidOperationException(
                "Failed to provision the access token.");
        }

        AccessToken = token;

        AuthenticatedUser = state.User;
    }

    protected IDictionary<string, object> GetAccessTokenClaims()
    {
        if (AccessToken == null)
        {
            return new Dictionary<string, object>();
        }

        // header.payload.signature
        var payload = AccessToken.Value.Split(".")[1];
        var base64Payload = payload.Replace('-', '+').Replace('_', '/')
            .PadRight(payload.Length + (4 - payload.Length % 4) % 4, '=');

        return JsonSerializer.Deserialize<IDictionary<string, object>>(
            Convert.FromBase64String(base64Payload));
    }
}

Memeriksa konten JSON Web Token (JWT)

Untuk mendekode JSON Web Token (JWT), gunakan alat jwt.ms Microsoft. Nilai di UI tidak pernah meninggalkan browser Anda.

Contoh JWT yang dikodekan (disingkat untuk tampilan):

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ilg1ZVhrNHh5b2pORnVtMWtsMll0djhkbE5QNC1j ... bQdHBHGcQQRbW7Wmo6SWYG4V_bU55Ug_PW4pLPr20tTS8Ct7_uwy9DWrzCMzpD-EiwT5IjXwlGX3IXVjHIlX50IVIydBoPQtadvT7saKo1G5Jmutgq41o-dmz6-yBMKV2_nXA25Q

Contoh JWT yang didekodekan oleh alat untuk aplikasi yang mengautentikasi terhadap Azure AAD B2C:

{
  "typ": "JWT",
  "alg": "RS256",
  "kid": "X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk"
}.{
  "exp": 1610059429,
  "nbf": 1610055829,
  "ver": "1.0",
  "iss": "https://mysiteb2c.b2clogin.com/5cc15ea8-a296-4aa3-97e4-226dcc9ad298/v2.0/",
  "sub": "5ee963fb-24d6-4d72-a1b6-889c6e2c7438",
  "aud": "70bde375-fce3-4b82-984a-b247d823a03f",
  "nonce": "b2641f54-8dc4-42ca-97ea-7f12ff4af871",
  "iat": 1610055829,
  "auth_time": 1610055822,
  "idp": "idp.com",
  "tfp": "B2C_1_signupsignin"
}.[Signature]

Sumber Daya Tambahan:

• Skenario keamanan tambahan Blazor WebAssembly ASP.NET Core
• Membuat versi kustom pustaka JavaScript Authentication.MSAL
• Permintaan API web yang tidak diaauthenticated atau tidak sah di aplikasi dengan klien default yang aman
• Autentikasi cloud dengan Azure Active Directory B2C di ASP.NET Core
• Tutorial: Membuat penyewa Azure Active Directory B2C
• Tutorial: Mendaftarkan aplikasi di Azure Active Directory B2C
• dokumentasi platform identitas Microsoft