Uwierzytelnianie i autoryzacja usługi Static Web Apps

Należy pamiętać o następujących wartościach domyślnych i zasobach na potrzeby uwierzytelniania i autoryzacji w usłudze Azure Static Web Apps.

Ustawienia domyślne:

• Każdy użytkownik może uwierzytelniać się za pomocą wstępnie skonfigurowanego dostawcy
  • GitHub
  • Microsoft Entra ID
  • Aby ograniczyć dostawcę uwierzytelniania, zablokuj dostęp za pomocą niestandardowej reguły trasy
• Po zalogowaniu anonymous użytkownicy należą do ról i .authenticated Aby uzyskać więcej informacji na temat ról, zobacz Zarządzanie rolami

Zasoby:

• Definiowanie reguł w pliku staticwebapp.config.json dla autoryzowanych użytkowników w celu uzyskania dostępu do tras z ograniczeniami
• Przypisywanie ról niestandardowych użytkowników przy użyciu wbudowanego systemu zaproszeń
• Programowe przypisywanie ról niestandardowych użytkowników podczas logowania przy użyciu funkcji interfejsu API
• Zrozumienie, że uwierzytelnianie i autoryzacja znacząco nakładają się na pojęcia dotyczące routingu, które zostały szczegółowo opisane w przewodniku konfiguracji aplikacji
• Ogranicz logowanie do określonej dzierżawy firmy Microsoft Entra, konfigurując niestandardowego dostawcę usługi Microsoft Entra. Wstępnie skonfigurowany dostawca microsoft Entra umożliwia logowanie się na dowolnym koncie Microsoft.

Usługa Azure Static Web Apps używa folderu systemowego /.auth do zapewnienia dostępu do interfejsów API związanych z autoryzacją. Zamiast uwidaczniać dowolne trasy w /.auth folderze bezpośrednio dla użytkowników końcowych, utwórz reguły routingu dla przyjaznych adresów URL.

Skorzystaj z poniższej tabeli, aby znaleźć trasę specyficzną dla dostawcy.

Aby na przykład zalogować się za pomocą usługi GitHub, możesz dołączyć coś podobnego do poniższego linku.

<a href="/.auth/login/github">Login</a>

Jeśli zdecydujesz się obsługiwać więcej niż jednego dostawcę, uwidocznij link specyficzny dla dostawcy dla każdego z nich w witrynie internetowej. Użyj reguły trasy, aby zamapować domyślnego dostawcę na przyjazną trasę, na przykład /login.

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

Konfigurowanie przekierowania po zalogowaniu

Zwróć użytkownika do określonej strony po zalogowaniu się, podając w pełni kwalifikowany adres URL w parametrze post_login_redirect_uri ciągu zapytania, jak w poniższym przykładzie.

Trasa /.auth/logout powoduje wylogowanie użytkowników z witryny internetowej. Możesz dodać link do nawigacji witryny, aby umożliwić użytkownikowi wylogowanie się, tak jak w poniższym przykładzie.

<a href="/.auth/logout">Log out</a>

Użyj reguły trasy, aby zamapować przyjazną trasę, na przykład /logout.

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

Konfigurowanie przekierowania po wylogowaniach

Aby zwrócić użytkownika do określonej strony po wylogowaniu się, podaj adres URL w post_logout_redirect_uri parametrze ciągu zapytania.

Blokowanie dostawcy uwierzytelniania

Możesz ograniczyć korzystanie z aplikacji przy użyciu dostawcy uwierzytelniania, ponieważ wszyscy dostawcy uwierzytelniania są włączeni. Na przykład aplikacja może chcieć standandaryzować tylko dostawców , którzy uwidaczniają adresy e-mail.

Aby zablokować dostawcę, możesz utworzyć reguły tras, aby zwrócić kod stanu 404 dla żądań do zablokowanej trasy specyficznej dla dostawcy. Aby na przykład ograniczyć usługę Twitter jako dostawcę, dodaj następującą regułę trasy.

Gdy wyrażasz zgodę na aplikację jako użytkownik końcowy, aplikacja ma dostęp do adresu e-mail lub nazwy użytkownika w zależności od dostawcy tożsamości. Po podaniu tych informacji właściciel aplikacji może zdecydować, jak zarządzać danymi osobowymi.

Użytkownicy końcowi muszą skontaktować się z administratorami poszczególnych aplikacji internetowych, aby odwołać te informacje z ich systemów.

Aby usunąć dane osobowe z platformy Azure Static Web Apps i uniemożliwić platformie dostarczanie tych informacji na temat przyszłych żądań, prześlij żądanie przy użyciu następującego adresu URL: