Sunucu ile barındırılan Blazor WebAssembly ASP.NET Core uygulamasını Identity güvenli hale getirme

Important

Barındırılan Blazor WebAssembly proje şablonu .NET 8 (Kasım 2023) sürümüyle çerçeveden kaldırıldı. Bu makaledeki yönergeler yalnızca .NET 7 veya önceki sürümlerde desteklenir. Her sürümde yükseltilen barındırılan Blazor WebAssembly uygulamaları, ürün desteği almaya devam ediyor. Alternatif olarak, uygulamayı tek başına bir Blazor WebAssembly uygulaması veya Blazor Web Appolarak yeniden düzenleme.

Bu makalede, kullanıcıların ve API çağrılarının kimliğini doğrulamak için Duende ServerBlazor WebAssemblybarındırılan Identity bir çözümün nasıl oluşturulacağı açıklanmaktadır.

Important

Duende Yazılımı, Duende Identity Server'ın üretim kullanımı için lisans ücreti ödemenizi gerektirebilir. Daha fazla bilgi için bkz. .NET 5'te ASP.NET Core'dan .NET 6'ya geçiş.

Note

Tek başına veya barındırılan Blazor WebAssembly bir uygulamayı mevcut bir dış Identity Sunucu örneğini kullanacak şekilde yapılandırmak için Kimlik Doğrulama kitaplığıyla ASP.NET Core Blazor WebAssembly tek başına uygulamasının güvenliğini sağlama başlığındaki yönergeleri izleyin.

Bu makaleyi okuduktan sonra ek güvenlik senaryosu kapsamı için bkz . ASP.NET Çekirdek Blazor WebAssembly ek güvenlik senaryoları.

Walkthrough

Kılavuzun alt bölümleri, aşağıdakilerin nasıl yapılacağını açıklar:

• Blazor Uygulamayı oluşturma
• Uygulamayı çalıştırma

Blazor Uygulama oluşturma

Visual Studio

Kimlik doğrulama mekanizmasıyla yeni Blazor WebAssembly bir proje oluşturmak için:

1. Yeni bir proje oluşturma.

2. Blazor WebAssembly Uygulama şablonunu seçin. sonrakiseçin.

3. Tire kullanmadan bir Proje adı girin. Konum'un doğru olduğunu onaylayın. sonrakiseçin.

   Proje adında OIDC uygulama tanımlayıcısının oluşumunu bozan tireler (-) kullanmaktan kaçının. Proje şablonundaki mantık, çözümün Blazor WebAssembly yapılandırmasında bir OIDC uygulama tanımlayıcısı için proje adını kullanır ve OIDC uygulama tanımlayıcısında tirelere izin verilmez. PascalCase (BlazorSample) veya alt çizgi (Blazor_Sample) kabul edilebilir alternatiflerdir.

4. Ek bilgiler iletişim kutusunda, Kimlik Doğrulama türü olarak Bireysel Hesaplar'ı seçin; böylece ASP.NET Core'un Identity sistemini kullanarak kullanıcıları uygulamada depolayabilirsiniz.

5. ASP.NET Core Barındırılan onay kutusunu seçin.

6. Uygulamayı oluşturmak için Oluştur düğmesini seçin.

Visual Studio Code / .NET CLI

Boş bir klasörde kimlik doğrulama mekanizmasıyla yeni Blazor WebAssembly bir proje oluşturmak için, ASP.NET Core'un Individual sistemini kullanarak kullanıcıları uygulama içinde depolama seçeneğiyle -au|--auth kimlik doğrulama mekanizmasını belirtinIdentity:

dotnet new blazorwasm -au Individual -ho -o {PROJECT NAME}

Placeholder	Example
{PROJECT NAME}	BlazorSample

İsteğe bağlı -o|--output seçeneğiyle belirtilen çıktı konumu, yoksa bir proje klasörü oluşturur ve projenin adının bir parçası haline gelir.

Proje adında OIDC uygulama tanımlayıcısının oluşumunu bozan tireler (-) kullanmaktan kaçının. Proje şablonundaki mantık, çözümün Blazor WebAssembly yapılandırmasında bir OIDC uygulama tanımlayıcısı için proje adını kullanır ve OIDC uygulama tanımlayıcısında tirelere izin verilmez. PascalCase (BlazorSample) veya alt çizgi (Blazor_Sample) kabul edilebilir alternatiflerdir.

Daha fazla bilgi için .NET Kılavuzu'ndaki komuta bakın dotnet new .

Uygulamayı çalıştırma

Uygulamayı projeden Server çalıştırın. Visual Studio kullanırken, aşağıdakilerden birini yapabilirsiniz:

• Çalıştır düğmesinin yanındaki açılan oku seçin. Açılan listeden Başlangıç Projelerini Yapılandır'ı açın. Tek başlangıç projesi seçeneğini belirleyin. Başlangıç projesini Server projesi olarak onaylayın veya değiştirin.

• Server Aşağıdaki yaklaşımlardan herhangi biriyle uygulamayı başlatmadan önce projenin Çözüm Gezgini vurgulandığını onaylayın:

  • Çalıştır düğmesini seçin.
  • Menüden Hata Ayıklama>Hata Ayıklamayı Başlat seçeneğini kullanın.
  • F5 tuşuna basın.

• Komut kabuğunda çözümün Server proje klasörüne gidin. dotnet watch (veya dotnet run) komutunu yürüt.

Çözümün parçaları

Bu bölümde, bir çözümün proje şablonundan Blazor WebAssembly oluşturulan bölümleri açıklanır ve çözümün Client ve Server projelerin başvuru için nasıl yapılandırıldığı açıklanır. Uygulamayı İzlenecek Yol bölümündeki yönergeleri kullanarak oluşturduysanız temel bir çalışma uygulaması için bu bölümde izlenecek belirli bir kılavuz yoktur. Bu bölümdeki yönergeler, kullanıcıların kimliğini doğrulamak ve yetkilendirmek için bir uygulamayı güncelleştirmeye yardımcı olur. Ancak, bir uygulamayı güncelleştirmeye alternatif bir yaklaşım, İzlenecek Yol bölümündeki kılavuzdan yeni bir uygulama oluşturmak ve uygulamanın bileşenlerini, sınıflarını ve kaynaklarını yeni uygulamaya taşımaktır.

Server uygulama hizmetleri

Bu bölüm çözümün uygulamasıyla ilgili.Server

Aşağıdaki hizmetler kaydedildi.

• Program dosyasında:

  • Entity Framework Core ve ASP.NET Core Identity:

    builder.Services.AddDbContext<ApplicationDbContext>(options =>
        options.UseSqlite( ... ));
    builder.Services.AddDatabaseDeveloperPageExceptionFilter();
    
    builder.Services.AddDefaultIdentity<ApplicationUser>(options => 
            options.SignIn.RequireConfirmedAccount = true)
        .AddEntityFrameworkStores<ApplicationDbContext>();
    

  • Identity Sunucu üzerinde varsayılan ASP.NET Core kurallarını ayarlayan ek bir AddApiAuthorization yardımcı yöntemi olan Identity sunucu:

    builder.Services.AddIdentityServer()
        .AddApiAuthorization<ApplicationUser, ApplicationDbContext>();
    

  • Uygulamayı Sunucu tarafından AddIdentityServerJwt üretilen JWT belirteçlerini doğrulayacak şekilde yapılandıran ek Identity bir yardımcı yöntemiyle kimlik doğrulaması:

    builder.Services.AddAuthentication()
        .AddIdentityServerJwt();
    

Note

Tek bir kimlik doğrulama düzeni kaydedildiğinde, bu düzen otomatik olarak uygulamanın varsayılan şeması olarak kullanılır ve düzenin AddAuthentication veya AuthenticationOptions aracılığıyla belirtilmesi gerekmez. Daha fazla bilgi için bkz. ASP.NET Core Kimlik Doğrulamasına Genel Bakış ve ASP.NET Core duyurusu (aspnet/Announcements #490).

• Program dosyasında:

• Identity Sunucu Ara Yazılımı OpenID Connect (OIDC) uç noktalarını kullanıma sunar:

  app.UseIdentityServer();
  

• Yetkilendirme Ara Yazılımı yetkilendirme özelliklerini etkinleştirir:

  app.UseAuthorization();
  

API yetkilendirmesi

Bu bölüm çözümün uygulamasıyla ilgili.Server

AddApiAuthorization yardımcı yöntemi, ASP.NET Core senaryoları için Identity Sunucu'yu yapılandırır. Identity Sunucu, uygulama güvenliği sorunlarını işlemeye yönelik güçlü ve genişletilebilir bir çerçevedir. Identity Sunucu, en yaygın senaryolar için gereksiz karmaşıklığı ortaya çıkarır. Sonuç olarak, iyi bir başlangıç noktası olarak değerlendirdiğimiz bir dizi kural ve yapılandırma seçeneği sağlanır. Kimlik doğrulaması gereksinimleriniz değiştikten sonra, kimlik doğrulamasını Identity uygulamanın gereksinimlerine uyacak şekilde özelleştirmek için Sunucu'nun tüm gücü kullanılabilir.

Sunucu ile Identity birlikte bulunan bir API için kimlik doğrulama işleyicisi ekleme

Bu bölüm çözümün uygulamasıyla ilgili.Server

Yardımcı metodu, AddIdentityServerJwt uygulama için bir ilke şemasını varsayılan kimlik doğrulama işleyicisi olarak yapılandırır. Proposed Improvements: İlke, Identity altındaki Identity URL alanında herhangi bir alt yola yönlendirilen tüm istekleri /Identity'nin işlemesine izin verecek şekilde yapılandırılmıştır. JwtBearerHandler tüm diğer istekleri işler. Ayrıca, bu yöntem:

• Varsayılan kapsamı Identity olan bir API kaynağını {PROJECT NAME}API Sunucu'ya kaydeder; burada {PROJECT NAME} yer tutucu, uygulama oluşturma sırasında projenin adıdır.
• Uygulamada Sunucu tarafından verilen belirteçleri doğrulamak için JWT Taşıyıcı Belirteç Ara Yazılımını yapılandırır.

Hava durumu tahmin denetleyicisi

Bu bölüm çözümün uygulamasıyla ilgili.Server

WeatherForecastController içindeControllers/WeatherForecastController.cs özniteliği [Authorize] sınıfına uygulanır. özniteliği, kullanıcının kaynağa erişmek için varsayılan ilkeye göre yetkilendirilmiş olması gerektiğini gösterir. Varsayılan yetkilendirme ilkesi, tarafından AddIdentityServerJwtayarlanan varsayılan kimlik doğrulama düzenini kullanacak şekilde yapılandırılır. Yardımcı yöntem, JwtBearerHandler'yi uygulamaya yönelik istekler için varsayılan işleyici olarak yapılandırır.

Uygulama veritabanı bağlamı

Bu bölüm çözümün uygulamasıyla ilgili.Server

ApplicationDbContext (Data/ApplicationDbContext.cs) içinde, DbContext, ApiAuthorizationDbContext<TUser>'ü Identity Sunucusu'nun şemasını içerecek şekilde genişletir. ApiAuthorizationDbContext<TUser>, IdentityDbContext'den türetilir.

Veritabanı şemasının tam kontrolünü sağlamak için, mevcut IdentityDbContext sınıflardan birini devralın ve Identity yönteminde builder.ConfigurePersistedGrantContext(_operationalStoreOptions.Value) çağrısı yaparak bağlamı OnModelCreating şemasını içerecek şekilde yapılandırın.

OIDC yapılandırma denetleyicisi

Bu bölüm çözümün uygulamasıyla ilgili.Server

OidcConfigurationController (Controllers/OidcConfigurationController.cs) içinde, istemci uç noktası OIDC parametrelerine hizmet etmek üzere yapılandırılmıştır.

Uygulama ayarları

Bu bölüm çözümün uygulamasıyla ilgili.Server

Proje kökündeki uygulama ayarları dosyasında (appsettings.json) bölümünde yapılandırılan IdentityServer istemcilerin listesi açıklanmaktadır. Aşağıdaki örnekte tek bir istemci vardır. İstemci adı, Client uygulamasının derleme adına karşılık gelir ve kural gereği OAuth ClientId parametresine eşlenir. Profil, yapılandırılan uygulama türünü gösterir. Profil, sunucu için yapılandırma işlemini basitleştiren kuralları yönlendirmek için dahili olarak kullanılır.

"IdentityServer": {
  "Clients": {
    "{ASSEMBLY NAME}": {
      "Profile": "IdentityServerSPA"
    }
  }
}

{ASSEMBLY NAME} yer tutucu, Client uygulamasının derleme adıdır (örneğin, BlazorSample.Client).

Kimlik doğrulama paketi

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bireysel Hesaplar (Individual) kullanmak üzere bir uygulama oluşturulduğunda, uygulama Microsoft.AspNetCore.Components.WebAssembly.Authentication paketi için otomatik olarak bir başvuru alır. Paket, uygulamanın kullanıcıların kimliğini doğrulamasına ve korumalı API'leri çağırmak için belirteçleri almasına yardımcı olan bir dizi temel öğe sağlar.

Uygulamaya kimlik doğrulaması ekliyorsanız paketi uygulamaya el ile ekleyin Microsoft.AspNetCore.Components.WebAssembly.Authentication .

Note

.NET uygulamalarına paket ekleme hakkında yönergeler için, Paket tüketimi iş akışında (NuGet belgeleri)paketleri yüklemek ve yönetmek altındaki makalelere bakın. NuGet.org'da doğru paket sürümlerini onaylayın.

HttpClient yapılandırması

Bu bölüm çözümün uygulamasıyla ilgili.Client

Program dosyasında, sunucu API'sine istek gönderildiğinde erişim belirteçleri içeren HttpClient örneklerini sağlamak üzere adlandırılmış bir HttpClient yapılandırılmıştır. Çözüm oluşturulurken, adı HttpClient olur {PROJECT NAME}.ServerAPI; burada {PROJECT NAME} yer tutucu projenin adıdır.

builder.Services.AddHttpClient("{PROJECT NAME}.ServerAPI", 
        client => client.BaseAddress = new Uri(builder.HostEnvironment.BaseAddress))
    .AddHttpMessageHandler<BaseAddressAuthorizationMessageHandler>();

builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
    .CreateClient("{PROJECT NAME}.ServerAPI"));

{PROJECT NAME} yer tutucu, çözüm oluşturulurken proje adıdır. Örneğin, proje adını BlazorSample sağlayarak HttpClient adlı BlazorSample.ServerAPI oluşturur.

Note

Bir uygulamayı barındırılan Blazor WebAssembly çözümün parçası olmayan mevcut Identity bir Sunucu örneğini kullanacak şekilde yapılandırıyorsanız, temel adres kaydını Blazor (HttpClient) yerine sunucu uygulamasının API yetkilendirme uç noktası URL'si olarak değiştirinIWebAssemblyHostEnvironment.BaseAddress.builder.HostEnvironment.BaseAddress

API yetkilendirme desteği

Bu bölüm çözümün uygulamasıyla ilgili.Client

Kullanıcıların kimliğini doğrulama desteği, paket içinde yer alan uzantı yöntemi tarafından hizmet kapsayıcısına Microsoft.AspNetCore.Components.WebAssembly.Authentication dahil edilir. Bu yöntem, mevcut yetkilendirme sistemiyle etkileşim kurmak için uygulamanın gerektirdiği hizmetleri ayarlar.

builder.Services.AddApiAuthorization();

Uygulamanın yapılandırması, kural gereği _configuration/{client-id} konumundan yüklenir. Gelenek gereği, istemci kimliği uygulamanın derleme adına ayarlanır. Seçeneklerle fazla yükleme fonksiyonu çağrılarak bu URL, ayrı bir uç noktaya işaret etmek için değiştirilebilir.

Imports dosyası

Bu bölüm çözümün uygulamasıyla ilgili.Client

Ad Microsoft.AspNetCore.Components.Authorization alanı, uygulama genelinde _Imports.razor dosyası aracılığıyla kullanılabilir hale getirilir.

...
@using Microsoft.AspNetCore.Components.Authorization
...

Index sayfa

Bu bölüm çözümün uygulamasıyla ilgili.Client

Dizin sayfası (wwwroot/index.html) JavaScript'te AuthenticationService tanımlayan bir betik içerir. AuthenticationService OIDC protokolünün alt düzey ayrıntılarını işler. Uygulama, kimlik doğrulama işlemlerini gerçekleştirmek için betikte tanımlanan yöntemleri dahili olarak çağırır.

<script src="_content/Microsoft.AspNetCore.Components.WebAssembly.Authentication/AuthenticationService.js"></script>

App bileşeni

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bileşen App (App.razor), uygulamalarda bulunan App bileşene Blazor Server benzer:

• CascadingAuthenticationState bileşeni, AuthenticationState uygulamanın geri kalanına ifşa etme işlemini yönetir.
• AuthorizeRouteView bileşeni, geçerli kullanıcının belirli bir sayfaya erişim yetkisine sahip olduğunu doğrular veya aksi takdirde RedirectToLogin bileşenini işler.
• Bileşen, RedirectToLogin yetkisiz kullanıcıları oturum açma sayfasına yönlendirmeyi yönetir.

ASP.NET Core sürümleri arasında çerçevedeki değişiklikler nedeniyle, Razor bileşen (App) için App.razor işaretleme bu bölümde gösterilmez. Belirli bir sürüm için bileşenin işaretlemesini incelemek için aşağıdaki yaklaşımlardan birini kullanın:

• Kullanmak istediğiniz ASP.NET Core sürümü için varsayılan Blazor WebAssembly proje şablonundan kimlik doğrulaması için sağlanan bir uygulama oluşturun. App Oluşturulan uygulamadaki bileşeni (App.razor) inceleyin.

• Başvuru kaynağındaki AppApp.razorbileşeni () inceleyin. Dal seçiciden sürümü seçin ve bileşenin ProjectTemplates konumu yıllar içinde değiştiğinden depo App klasöründe bileşeni arayın.

  Note

  .NET başvuru kaynağına yönelik belge bağlantıları genellikle deponun varsayılan dalını yükler ve bu dal .NET'in sonraki sürümü için geçerli geliştirmeyi temsil eder. Belirli bir sürüm için bir etiket seçmek amacıyla Dalları veya etiketleri değiştir açılır listesini kullanın. Daha fazla bilgi için bkz. ASP.NET Core kaynak kodunun sürüm etiketini seçme (dotnet/AspNetCore.Docs #26205).

RedirectToLogin bileşeni

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bileşen RedirectToLogin (RedirectToLogin.razor):

• Yetkisiz kullanıcıları oturum açma sayfasına yönlendirmeyi yönetir.
• Kullanıcının erişmeye çalıştığı geçerli URL, kimlik doğrulaması başarılı olduğu takdirde aynı sayfaya dönebilmesi için kaydedilir.
  • .NET 7 veya sonraki sürümlerde ASP.NET Core'da gezinti geçmişi durumu .
  • .NET 6 veya önceki sürümlerde ASP.NET Core'da bir sorgu dizesi.

Başvuru kaynağında RedirectToLogin bileşenini inceleyin. Bileşenin konumu zaman içinde değiştiğinden, bileşeni bulmak için GitHub arama araçlarını kullanın.

Oturum açma yolu uygulama tarafından özelleştirilebilir (RemoteAuthenticationApplicationPathsOptions.LogInPath, çerçeve varsayılanları (dotnet/aspnetcore başvuru kaynağı)). Proje şablonunun RedirectToLogin bileşeni varsayılan oturum açma yolunu authentication/loginkullanır.

Note

.NET başvuru kaynağına yönelik belge bağlantıları genellikle deponun varsayılan dalını yükler ve bu dal .NET'in sonraki sürümü için geçerli geliştirmeyi temsil eder. Belirli bir sürüm için bir etiket seçmek amacıyla Dalları veya etiketleri değiştir açılır listesini kullanın. Daha fazla bilgi için bkz. ASP.NET Core kaynak kodunun sürüm etiketini seçme (dotnet/AspNetCore.Docs #26205).

Bir uygulama oturum açma yolunu özelleştirirse aşağıdaki yaklaşımlardan birini kullanın:

• Bileşendeki sabit kodlanmış dizedeki yolu eşleştirin RedirectToLogin .

• Yapılandırılan değeri elde etmek için ekleme RemoteAuthenticationOptions . Örneğin, yolunu ile AddApiAuthorizationözelleştirirken bu yaklaşımı kullanın. Bileşenin en üstüne RedirectToLogin aşağıdaki yönergeleri ekleyin:

  @using Microsoft.Extensions.Options
  @inject IOptionsSnapshot<RemoteAuthenticationOptions<ApiAuthorizationProviderOptions>> RemoteOptions
  

  yönteminde bileşenin yeniden yönlendirmesini OnInitialized değiştirin:

  - Navigation.NavigateToLogin("authentication/login");
  + Navigation.NavigateToLogin(RemoteOptions.Get(Options.DefaultName)
  +     .AuthenticationPaths.LogInPath);
  

  Note

  Diğer yollar proje şablonunun yollarından veya çerçevenin varsayılan yollarından farklıysa, aynı şekilde yönetilmelidir.

LoginDisplay bileşeni

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bileşen LoginDisplay (LoginDisplay.razor) bileşeninde MainLayout işlenir (MainLayout.razor) ve aşağıdaki davranışları yönetir:

• Kimliği doğrulanmış kullanıcılar için:
  • Geçerli kullanıcı adını görüntüler.
  • ASP.NET Core'da Identitykullanıcı profili sayfasına bir bağlantı sunar.
  • Uygulamadan çıkış yapmak için bir düğme sunar.
• Anonim kullanıcılar için:
  • Kaydolma seçeneği sunar.
  • Oturum açma seçeneği sunar.

ASP.NET Core sürümleri arasında çerçevedeki değişiklikler nedeniyle, Razor bileşen için LoginDisplay işaretleme bu bölümde gösterilmez. Belirli bir sürüm için bileşenin işaretlemesini incelemek için aşağıdaki yaklaşımlardan birini kullanın:

• Kullanmak istediğiniz ASP.NET Core sürümü için varsayılan Blazor WebAssembly proje şablonundan kimlik doğrulaması için sağlanan bir uygulama oluşturun. LoginDisplay Oluşturulan uygulamadaki bileşeni inceleyin.

• Başvuru kaynağında LoginDisplay bileşenini inceleyin. Bileşenin konumu zaman içinde değiştiğinden, bileşeni bulmak için GitHub arama araçlarını kullanın. Hosted'e eşit true için şablonlu içerik kullanılır.

  Note

  .NET başvuru kaynağına yönelik belge bağlantıları genellikle deponun varsayılan dalını yükler ve bu dal .NET'in sonraki sürümü için geçerli geliştirmeyi temsil eder. Belirli bir sürüm için bir etiket seçmek amacıyla Dalları veya etiketleri değiştir açılır listesini kullanın. Daha fazla bilgi için bkz. ASP.NET Core kaynak kodunun sürüm etiketini seçme (dotnet/AspNetCore.Docs #26205).

Authentication bileşeni

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bileşen (Authentication) tarafından Pages/Authentication.razor oluşturulan sayfa, farklı kimlik doğrulama aşamalarını işlemek için gereken yolları tanımlar.

Bileşen RemoteAuthenticatorView :

• Microsoft.AspNetCore.Components.WebAssembly.Authentication paketi tarafından sağlanır.
• Kimlik doğrulamasının her aşamasında uygun eylemleri gerçekleştirmeyi yönetir.

@page "/authentication/{action}"
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication

<RemoteAuthenticatorView Action="@Action" />

@code {
    [Parameter]
    public string? Action { get; set; }
}

Note

Null atanabilir başvuru türleri (NTS) ve .NET derleyici null durum statik çözümlemesi .NET 6 veya sonraki sürümlerde ASP.NET Core'da desteklenir. .NET 6'da ASP.NET Core'un yayımlanmasından önce, string tür null tür ataması (?) olmadan görünür.

FetchData bileşeni

Bu bölüm çözümün uygulamasıyla ilgili.Client

Bileşen FetchData nasıl yapılacağını gösterir.

• Erişim belirteci sağlamak.
• Sunucu uygulamasında korumalı bir kaynak API'sini çağırmak için erişim belirtecini kullanın.

yönergesi @attribute [Authorize] , yetkilendirme sistemine bu bileşeni ziyaret etmek için kullanıcının yetkilendirilmiş olması gerektiğini belirtir Blazor WebAssembly . Özniteliğin Client uygulamada bulunması, sunucudaki API'nin düzgün kimlik bilgileri olmadan çağrılmasını engellemez. Uygulamanın Server bunları doğru şekilde korumak için uygun uç noktalarda da kullanması [Authorize] gerekir.

IAccessTokenProvider.RequestAccessToken API'yi çağırma isteğine eklenebilen bir erişim belirteci isteme işlemini üstlenir. Belirteç önbelleğe alınmışsa veya hizmet kullanıcı etkileşimi olmadan yeni bir erişim belirteci sağlayabiliyorsa, belirteç isteği başarılı olur. Aksi takdirde, belirteç isteği bir AccessTokenNotAvailableException ile başarısız olur ve bu durum bir try-catch ifadesinde yakalanır.

İstekte yer alacak gerçek belirteci elde etmek için, uygulamanın çağrısı tokenResult.TryGetToken(out var token)yaparak isteğin başarılı olup olmadığını denetlemesi gerekir.

İstek başarılı olursa belirteç değişkeni erişim belirteci ile doldurulur. AccessToken.Value belirtecin özelliği, Authorization bir istek üst bilgisine eklenecek değişmez dizeyi kullanıma sunar.

Kullanıcı etkileşimi olmadan belirteç sağlanamıyorsa ve bu durum başarısız bir isteğe neden oluyorsa:

• .NET 7 veya sonraki sürümlerinde ASP.NET Core: Uygulama, erişim belirtecini yenilemek için verilen AccessTokenResult.InteractiveRequestUrl kullanılarak AccessTokenResult.InteractionOptions adresine yönlendiriliyor.
• .NET 6 veya önceki sürümlerinde ASP.NET Core: Belirteç sonucu bir yeniden yönlendirme URL'si içerir. Bu URL'ye gitmek, kullanıcıyı oturum açma sayfasına ve başarılı bir kimlik doğrulamasından sonra geçerli sayfaya geri götürür.

@page "/fetchdata"
@using Microsoft.AspNetCore.Authorization
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication
@using {APP NAMESPACE}.Shared
@attribute [Authorize]
@inject HttpClient Http

...

@code {
    private WeatherForecast[] forecasts;

    protected override async Task OnInitializedAsync()
    {
        try
        {
            forecasts = await Http.GetFromJsonAsync<WeatherForecast[]>("WeatherForecast");
        }
        catch (AccessTokenNotAvailableException exception)
        {
            exception.Redirect();
        }
    }
}

Linux'ta Azure Uygulaması Hizmeti

Linux üzerinde Azure Uygulaması Hizmetine dağıtırken vereni açıkça belirtin. Daha fazla bilgi için SPAlar için Web API arka ucunu güvenceye almak için Identity kullanma bölümüne bakın.

API yetkilendirmesi ile ad ve rol talebi

Özel kullanıcı fabrikası

Client Uygulamada özel bir kullanıcı fabrikası oluşturun. Identity Sunucu, tek role bir talepte JSON dizisi olarak birden çok rol gönderir. Tek bir rol, hak talebinde string değeri olarak gönderilir. Fabrika, kullanıcının rollerinin her biri için ayrı role bir talep oluşturur.

CustomUserFactory.cs:

using System.Security.Claims;
using System.Text.Json;
using Microsoft.AspNetCore.Components.WebAssembly.Authentication;
using Microsoft.AspNetCore.Components.WebAssembly.Authentication.Internal;

public class CustomUserFactory(IAccessTokenProviderAccessor accessor)
    : AccountClaimsPrincipalFactory<RemoteUserAccount>(accessor)
{
    public override async ValueTask<ClaimsPrincipal> CreateUserAsync(
        RemoteUserAccount account,
        RemoteAuthenticationUserOptions options)
    {
        var user = await base.CreateUserAsync(account, options);

        if (user.Identity is not null && user.Identity.IsAuthenticated)
        {
            var identity = (ClaimsIdentity)user.Identity;
            var roleClaims = identity.FindAll(identity.RoleClaimType).ToArray();

            if (roleClaims.Any())
            {
                foreach (var existingClaim in roleClaims)
                {
                    identity.RemoveClaim(existingClaim);
                }

                var rolesElem = 
                    account.AdditionalProperties[identity.RoleClaimType];

                if (options.RoleClaim is not null && rolesElem is JsonElement roles)
                {
                    if (roles.ValueKind == JsonValueKind.Array)
                    {
                        foreach (var role in roles.EnumerateArray())
                        {
                            var roleValue = role.GetString();

                            if (!string.IsNullOrEmpty(roleValue))
                            {
                                identity.AddClaim(
                                  new Claim(options.RoleClaim, roleValue));
                            }
        
                        }
                    }
                    else
                    {
                        var roleValue = roles.GetString();

                        if (!string.IsNullOrEmpty(roleValue))
                        {
                            identity.AddClaim(
                              new Claim(options.RoleClaim, roleValue));
                        }
                    }
                }
            }
        }

        return user;
    }
}

Client Uygulamada, fabrikayı Program dosyasına kaydedin:

builder.Services.AddApiAuthorization()
    .AddAccountClaimsPrincipalFactory<CustomUserFactory>();

Server uygulamasında, rol ile ilgili hizmetleri eklemek için AddRoles oluşturucusunda Identity'i çağırın.

Program dosyasında:

using Microsoft.AspNetCore.Identity;

...

builder.Services.AddDefaultIdentity<ApplicationUser>(options => 
    options.SignIn.RequireConfirmedAccount = true)
    .AddRoles<IdentityRole>()
    .AddEntityFrameworkStores<ApplicationDbContext>();

Sunucuyu Yapılandırma Identity

Aşağıdaki yaklaşımlardan birini kullanın:

• API yetkilendirme seçenekleri
• Profil Hizmeti

API yetkilendirme seçenekleri

Server Uygulamada:

• Identity Sunucusunu, name ve role taleplerini kimlik belirtecine ve erişim belirtecine yerleştirecek şekilde yapılandırın.
• JWT belirteci işleyicisindeki roller için varsayılan eşlemeyi engelleyin.

Program dosyasında:

using System.IdentityModel.Tokens.Jwt;

...

builder.Services.AddIdentityServer()
    .AddApiAuthorization<ApplicationUser, ApplicationDbContext>(options => {
        options.IdentityResources["openid"].UserClaims.Add("name");
        options.ApiResources.Single().UserClaims.Add("name");
        options.IdentityResources["openid"].UserClaims.Add("role");
        options.ApiResources.Single().UserClaims.Add("role");
    });

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Remove("role");

Profil Hizmeti

Server uygulamasında bir ProfileService uygulaması oluşturun.

ProfileService.cs:

using IdentityModel;
using Duende.IdentityServer.Models;
using Duende.IdentityServer.Services;

public class ProfileService : IProfileService
{
    public ProfileService()
    {
    }

    public async Task GetProfileDataAsync(ProfileDataRequestContext context)
    {
        var nameClaim = context.Subject.FindAll(JwtClaimTypes.Name);
        context.IssuedClaims.AddRange(nameClaim);

        var roleClaims = context.Subject.FindAll(JwtClaimTypes.Role);
        context.IssuedClaims.AddRange(roleClaims);

        await Task.CompletedTask;
    }

    public async Task IsActiveAsync(IsActiveContext context)
    {
        await Task.CompletedTask;
    }
}

Server Uygulamada Profil Hizmeti'ni Program dosyasına kaydedin:

using Duende.IdentityServer.Services;

...

builder.Services.AddTransient<IProfileService, ProfileService>();

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Remove("role");

Yetkilendirme mekanizmalarını kullanma

Client Uygulamada, bileşen yetkilendirme yaklaşımları bu noktada işlevseldir. Bileşenlerdeki yetkilendirme mekanizmalarından herhangi biri kullanıcıyı yetkilendirmek için bir rol kullanabilir:

• AuthorizeView bileşen (Örnek: <AuthorizeView Roles="Admin">)

• [Authorize] attribute yönergesi () (AuthorizeAttributeÖrnek: @attribute [Authorize(Roles = "Admin")])

• Yordam mantığı (Örnek: if (user.IsInRole("Admin")) { ... })

  Birden çok rol testi desteklenir:

  if (user.IsInRole("Admin") && user.IsInRole("Developer"))
  {
      ...
  }
  

User.Identity.Name , uygulamada genellikle oturum açma e-posta adresi olan kullanıcının kullanıcı adıyla doldurulur Client .

UserManager ve SignInManager

Sunucu uygulaması şunları gerektirdiğinde kullanıcı tanımlayıcısı talep türünü ayarlayın:

• UserManager<TUser> veya SignInManager<TUser> bir API uç noktasında.
• IdentityUser kullanıcının adı, e-posta adresi veya kilitleme bitiş saati gibi ayrıntılar.

Program.cs.NET 6 veya sonraki sürümlerinde ASP.NET Core için:

using System.Security.Claims;

...

builder.Services.Configure<IdentityOptions>(options => 
    options.ClaimsIdentity.UserIdClaimType = ClaimTypes.NameIdentifier);

.NET 5 veya önceki sürümler için Startup.ConfigureServices:

using System.Security.Claims;

...

services.Configure<IdentityOptions>(options => 
    options.ClaimsIdentity.UserIdClaimType = ClaimTypes.NameIdentifier);

Aşağıdaki WeatherForecastController, UserName, Get yöntemi çağrıldığında günlüğe kaydeder.

Note

Aşağıdaki örnek şunu kullanır:

• C# 10 veya üzeri (.NET 6 veya üzeri) bir özellik olan dosya kapsamlı ad alanı.
• C# 12 veya üzeri (.NET 8 veya üzeri) özelliği olan birincil oluşturucu.

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Identity;
using Microsoft.Extensions.Logging;
using BlazorSample.Server.Models;
using BlazorSample.Shared;

namespace BlazorSample.Server.Controllers;

[Authorize]
[ApiController]
[Route("[controller]")]
public class WeatherForecastController(ILogger<WeatherForecastController> logger, 
        UserManager<ApplicationUser> userManager) : ControllerBase
{
    private static readonly string[] Summaries = new[]
    {
        "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", 
        "Balmy", "Hot", "Sweltering", "Scorching"
    };

    [HttpGet]
    public async Task<IEnumerable<WeatherForecast>> Get()
    {
        var rng = new Random();

        var user = await userManager.GetUserAsync(User);

        if (user != null)
        {
            logger.LogInformation("User.Identity.Name: {UserIdentityName}", user.UserName);
        }

        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = rng.Next(-20, 55),
            Summary = Summaries[rng.Next(Summaries.Length)]
        })
        .ToArray();
    }
}

Yukarıdaki örnekte:

• Projenin Server ad alanı BlazorSample.Server.
• Projenin Shared ad alanı BlazorSample.Shared.

Özel bir etki alanı ve sertifikayla Azure Uygulama Hizmeti'nde barındırma

Aşağıdaki kılavuzda açıklanmaktadır:

• Sunucu ile barındırılan Blazor WebAssembly bir uygulamayı özel etki alanıyla Identity Azure Uygulaması Hizmeti'ne dağıtma.
• Tarayıcılarla HTTPS protokolü iletişimi için TLS sertifikası oluşturma ve kullanma. Kılavuz, sertifikayı özel bir etki alanıyla kullanmaya odaklansa da, örneğin, varsayılan Azure Uygulaması etki alanını kullanmak için contoso.azurewebsites.netde aynı şekilde geçerlidir.

Bu barındırma senaryosunda Duende Identity Server'ın belirteç imzalama anahtarı ve sitenin tarayıcılarla HTTPS güvenli iletişimi için aynı sertifikayı kullanmayın:

• Bu iki gereksinim için farklı sertifikalar kullanmak, her amaç için özel anahtarları yalıttığı için iyi bir güvenlik uygulamasıdır.
• Tarayıcılarla iletişim için TLS sertifikaları, Sunucunun belirteç imzalamasını Identity etkilemeden bağımsız olarak yönetilir.
• Azure Key Vault özel alan adı bağlama için App Service uygulamasına bir sertifika sağladığında, Identity Sunucu belirteç imzalama için Azure Key Vault'tan aynı sertifikayı alamıyor. Sunucuyu fiziksel bir yoldan aynı TLS sertifikasını kullanacak şekilde yapılandırmak Identity mümkün olsa da, güvenlik sertifikalarını kaynak denetimine yerleştirmek kötü bir uygulamadır ve çoğu senaryoda bundan kaçınılmalıdır.

Aşağıdaki kılavuzda, Azure Key Vault'ta yalnızca Sunucu belirteci imzalama için Identity otomatik olarak imzalanan bir sertifika oluşturulur. Sunucu yapılandırması, Identity uygulamanın CurrentUser>My sertifika deposu üzerinden anahtar kasası sertifikasını kullanır. Özel etki alanları olan HTTPS trafiği için kullanılan diğer sertifikalar, Sunucu imzalama sertifikasından Identity ayrı olarak oluşturulur ve yapılandırılır.

Bir uygulamayı, Azure Uygulaması Hizmetini ve Azure Key Vault'u özel bir etki alanı ve HTTPS ile barındıracak şekilde yapılandırmak için:

1. veya daha yüksek bir plan seviyesine sahip bir Basic B1 oluşturun. App Service,özel etki alanlarını kullanmak için bir veya daha yüksek bir Basic B1 hizmet katmanı gerektirir.

2. Sitenin güvenli tarayıcı iletişimi (HTTPS protokolü) için, kuruluşunuzun denetlediğini tam etki alanı adının (FQDN) ortak adıyla (örneğin, www.contoso.com) bir PFX sertifikası oluşturun. Sertifikayı şu şekilde oluşturun:

   • Anahtar kullanımları
     • Dijital imza doğrulama (digitalSignature)
     • Anahtar şifreleme (keyEncipherment)
   • Gelişmiş/genişletilmiş anahtar kullanımları
     • İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2)
     • Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1)

   Sertifikayı oluşturmak için aşağıdaki yaklaşımlardan birini veya diğer uygun araçları veya çevrimiçi hizmeti kullanın:

   • Azure Key Vault
   • Windows'da MakeCert
   • OpenSSL

   Daha sonra sertifikayı Azure Key Vault'a aktarmak için kullanılan parolayı not edin.

   Azure Key Vault sertifikaları hakkında daha fazla bilgi için bkz . Azure Key Vault: Sertifikalar.

3. Yeni bir Azure Key Vault oluşturun veya Azure aboneliğinizde mevcut bir anahtar kasayı kullanın.

4. Anahtar kasasının Sertifikalar alanında PFX site sertifikasını içeri aktarın. Daha sonra uygulamanın yapılandırmasında kullanılan sertifikanın parmak izini kaydedin.

5. Azure Key Vault'ta Sunucu belirteci imzalama için Identity yeni bir kendi kendine imzalı sertifika oluşturun. Sertifikaya bir Sertifika Adı ve Konu verin. Konu olarak CN={COMMON NAME}belirtilir ve burada {COMMON NAME} yer tutucu sertifikanın ortak adıdır. Ortak ad herhangi bir alfasayısal dize olabilir. Örneğin, CN=IdentityServerSigning geçerli bir sertifika Konusudur. Dağıtım İlkesi Gelişmiş Politika Yapılandırması'nda varsayılan ayarları kullanın. Daha sonra uygulamanın yapılandırmasında kullanılan sertifikanın parmak izini kaydedin.

6. Azure portalında Azure Uygulaması Hizmeti'ne gidin ve aşağıdaki yapılandırmayla yeni bir App Service oluşturun:

   • YayımlamaCode olarak ayarlandı.
   • Çalışma zamanı yığını , uygulamanın çalışma zamanına ayarlanır.
   • Sku ve boyut için, App Service katmanının Basic B1 veya daha yüksek olduğunu onaylayın. App Service,özel etki alanlarını kullanmak için bir veya daha yüksek bir Basic B1 hizmet katmanı gerektirir.

7. Azure App Service'i oluşturulduktan sonra uygulamanın Yapılandırması'nı açın ve daha önce kaydedilen sertifika parmak izlerini belirten yeni bir uygulama ayarı ekleyin. Uygulama ayarı anahtarı şeklindedir WEBSITE_LOAD_CERTIFICATES. Aşağıdaki örnekte gösterildiği gibi, uygulama ayarı değerindeki sertifika parmak izlerini virgülle ayırın:

   • Anahtar: WEBSITE_LOAD_CERTIFICATES
   • Değer: 57443A552A46DB...D55E28D412B943565,29F43A772CB6AF...1D04F0C67F85FB0B1

   Azure portalında uygulama ayarlarını kaydetmek iki adımlı bir işlemdir: Anahtar-değer ayarını kaydedinWEBSITE_LOAD_CERTIFICATES, ardından dikey penceresinin üst kısmındaki Kaydet düğmesini seçin.

8. Uygulamanın TLS/SSL ayarlarını seçin. Özel Anahtar Sertifikaları (.pfx) öğesini seçin. Key Vault Sertifikasını İçeri Aktar işlemini kullanın. İşlemi iki kez kullanarak hem HTTPS iletişimi için sitenin sertifikasını hem de sitenin öz imzalı Identity Sunucu belirteci imzalama sertifikasını içeri aktarın.

9. Özel etki alanları paneline gidin. Etki alanı kayıt şirketinizin web sitesinde, etki alanını yapılandırmak için IP adresini ve Özel Etki Alanı Doğrulama Kimliğini kullanın. Tipik bir etki alanı yapılandırması şunları içerir:

   • Bir A Kaydı ile Host olarak @ ve Azure portalından gelen IP adresi değeri.
   • TXT Kaydı, bir Host olan asuid ve Azure tarafından oluşturulan doğrulama kimliğinin Azure portalında sağlanan değeri ile birlikte.

   Etki alanı kayıt şirketinizin web sitesine yaptığınız değişiklikleri doğru kaydettiğinizden emin olun. Bazı kayıt şirketi web siteleri, etki alanı kayıtlarını kaydetmek için iki aşamalı bir işlem gerektirir: Bir veya daha fazla kayıt tek tek kaydedilir ve ardından etki alanının kaydı ayrı bir düğmeyle güncelleştiriler.

10. Azure portalında Özel etki alanları paneline dönün. Özel etki alanı ekle'yi seçin. Kayıt seçeneğini belirleyin. Etki alanını sağlayın ve Doğrula'yı seçin. Etki alanı kayıtları doğruysa ve İnternet'e yayılırsa, portal Özel etki alanı ekle düğmesini seçmenize olanak tanır.

    Etki alanı kayıt şirketiniz tarafından işlendikten sonra etki alanı kayıt değişikliklerinin İnternet etki alanı adı sunucuları (DNS) arasında yayılması birkaç gün sürebilir. Etki alanı kayıtları üç iş günü içinde güncelleştirilmezse, kayıtların etki alanı kayıt şirketiyle doğru şekilde ayarlandığını onaylayın ve müşteri desteğine başvurun.

11. Özel etki alanları dikey penceresinde, etki alanının SSL DURUMU olarak işaretlenirNot Secure. Bağlama ekle bağlantısını seçin. Özel alan adı bağlama için anahtar kasasından site HTTPS sertifikasını seçin.

12. Visual Studio'da Sunucu projesinin uygulama ayarları dosyasını (appsettings.json veya appsettings.Production.json) açın. Sunucu yapılandırmasına Identity aşağıdaki Key bölümü ekleyin. Konusu için Name anahtarı için otomatik olarak imzalanan sertifikayı belirtin. Aşağıdaki örnekte, sertifikanın anahtar kasasında atanan ortak adı IdentityServerSigning olup, Subject olarak CN=IdentityServerSigning sağlar.

    "IdentityServer": {
    
      ...
    
      "Key": {
        "Type": "Store",
        "StoreName": "My",
        "StoreLocation": "CurrentUser",
        "Name": "CN=IdentityServerSigning"
      }
    },
    

13. Visual Studio'da, Sunucu projesi için bir Azure Uygulaması Hizmeti yayımlama profili oluşturun. Menü çubuğundan şunları seçin: Build>Publish>New>Azure>Azure App Service (Windows veya Linux). Visual Studio bir Azure aboneliğine bağlandığında, Kaynak türüne göre Azure kaynaklarının görünümünü ayarlayabilirsiniz. Web Uygulaması listesinde gezinerek uygulamanın App Service'ini bulun ve seçin. Bitirseçin.

14. Visual Studio Yayımla penceresine döndüğünde, Key Vault ve SQL Server veritabanı servisi bağımlılıkları otomatik olarak algılanır.

    Anahtar kasası hizmeti için varsayılan ayarlarda yapılandırma değişikliği gerekmez.

    Test amacıyla, şablon tarafından yapılandırılan bir uygulamanın yerel SQLite veritabanı, ek yapılandırma olmadan uygulamayla dağıtılabilir. Üretimde Sunucu için Identity farklı bir veritabanı yapılandırmak bu makalenin kapsamı dışındadır. Daha fazla bilgi için aşağıdaki belge kümelerindeki veritabanı kaynaklarına bakın:

    • App Service
    • Duende Identity Sunucusu

15. Pencerenin üst kısmındaki dağıtım profili adının altındaki Düzenle bağlantısını seçin. Hedef URL'yi sitenin özel etki alanı URL'si (örneğin, https://www.contoso.com) olarak değiştirin. Ayarları kaydedin.

16. Uygulamayı yayımlayın. Visual Studio bir tarayıcı penceresi açar ve siteyi özel alan adında ister.

Azure belgeleri, Azure hizmetlerini ve özel etki alanlarını App Service'te TLS bağlaması ile kullanma hakkında ek ayrıntılar içerir. Bu bilgiler arasında A kayıtları yerine CNAME kayıtlarını kullanma hakkında bilgiler de yer alır. Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

• App Service belgeleri
• Öğretici: Mevcut özel DNS adını Azure App Service'e eşleme
• Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama
• Azure Key Vault

Azure portalında uygulama, uygulama yapılandırması veya Azure hizmetlerinde yapılan bir değişiklik sonrasında her uygulama testi çalıştırması için yeni bir özel mod tarayıcı penceresi (örneğin, Microsoft Edge InPrivate modu veya Google Chrome Gizli modu) kullanmanızı öneririz. Önceki bir test çalıştırmasından kalan tanımlama bilgileri, site yapılandırması doğru olduğunda bile siteyi test ederken kimlik doğrulaması veya yetkilendirmenin başarısız olmasına neden olabilir. Visual Studio'yu her test çalıştırması için yeni bir özel tarayıcı penceresi açacak şekilde yapılandırma hakkında daha fazla bilgi için Tanımlama Bilgileri ve site verileri bölümüne bakın.

Azure portalında App Service yapılandırması değiştirildiğinde, güncelleştirmeler genellikle hızlı bir şekilde etkinleşir ancak anında uygulanmaz. Bazı durumlarda, yapılandırma değişikliğinin etkili olması için App Service'in yeniden başlatılması için kısa bir süre beklemeniz gerekir.

Sunucu anahtar imzalama sertifikası yükleme sorununu gideriyorsanız Identity azure portalı Kudu PowerShell komut kabuğunda aşağıdaki komutu yürütebilirsiniz. komutu, uygulamanın sertifika deposundan erişebileceği sertifikaların CurrentUser>My listesini sağlar. Çıktı, bir uygulamada hata ayıklarken yararlı olan sertifika konularını ve parmak izlerini içerir:

Get-ChildItem -path Cert:\CurrentUser\My -Recurse | Format-List DnsNameList, Subject, Thumbprint, EnhancedKeyUsageList

Troubleshoot

Logging

Kimlik doğrulaması için hata ayıklama veya izleme günlüğünü etkinleştirmek amacıyla, makale sürümü seçicisini .NET 7 veya sonraki sürümlerde ASP.NET Core olarak ayarlayarak, ASP.NET Core Blazor WebAssembly günlüğününBlazor bölümüne bakın.

Yaygın hatalar

• Uygulamanın veya Identity Sağlayıcının (IP) yanlış yapılandırılması

  En yaygın hatalar yanlış yapılandırmadan kaynaklanıyor. Aşağıda birkaç örnek verilmiştir:

  • Senaryonun gereksinimlerine bağlı olarak, eksik veya yanlış bir Yetkili, Örnek, Kiracı Kimliği, Kiracı etki alanı, İstemci Kimliği veya Yeniden Yönlendirme URI'si bir uygulamanın istemcilerin kimliğini doğrulamasını engeller.
  • Yanlış istek kapsamları istemcilerin sunucu web API'leri uç noktalarına erişmesini engeller.
  • Hatalı veya eksik sunucu API'si izinleri istemcilerin sunucu web API'si uç noktalarına erişmesini engeller.
  • IP'nin uygulama kaydındaki Yeniden Yönlendirme URI'sinde yapılandırılandan farklı bir portta uygulamayı çalıştırma. Microsoft Entra Kimliği ve geliştirme testi adresinde çalışan bir localhost uygulama için bağlantı noktası gerekli değildir, ancak uygulamanın bağlantı noktası yapılandırması ve uygulamanın çalıştırıldığı bağlantı noktası, geliştirme dışı adresler için eşleşmelidir.

  Bu makalenin kılavuzunun yapılandırma bölümlerinde doğru yapılandırma örnekleri gösterilir. Uygulama ve IP yanlış yapılandırması olup olmadığını bulmak için makalenin her bölümünü dikkatle denetleyin.

  Yapılandırma doğru görünüyorsa:

  • Uygulama günlüklerini analiz edin.

  • tarayıcının geliştirici araçlarıyla istemci uygulaması ile IP veya sunucu uygulaması arasındaki ağ trafiğini inceleyin. Genellikle, soruna neyin neden olduğuna dair ipucu içeren tam bir hata iletisi veya ileti, istekte bulunduktan sonra IP veya sunucu uygulaması tarafından istemciye döndürülür. Geliştirici araçları kılavuzu aşağıdaki makalelerde bulunur:

    • Google Chrome (Google belgeleri)
    • Microsoft Edge
    • Mozilla Firefox (Mozilla belgeleri)

  • İstemcinin kimliğini doğrulamak veya bir sunucu web API'sine erişmek için bir JSON Web Belirteci'nin (JWT) kullanıldığı Blazor sürümlerinde, sorun nerede meydana geliyorsa, kullanılan belirtecin içeriğini çözümleyin. Daha fazla bilgi için bkz . JSON Web Belirtecinin (JWT) içeriğini inceleme.

  Belge ekibi makalelerdeki belge geri bildirimlerine ve hatalarına yanıt verir (Bu sayfa geri bildirimi bölümünden bir sorun açın) ancak ürün desteği sağlayamaz. Bir uygulamada sorun gidermeye yardımcı olmak için çeşitli genel destek forumları mevcuttur. Aşağıdakileri öneririz:

  • Stack Overflow (etiket: blazor)
  • ASP.NET Core Slack Ekibi
  • Blazor Gitter

  Önceki forumlar Microsoft'a ait değildir veya microsoft tarafından denetlenmemektedir.

  Güvenlikle ilgili olmayan, hassas olmayan ve gizli olmayan yeniden üretilebilir çerçeve hata raporları için ASP.NET Core ürün birimiyle ilgili bir sorun açın. Sorunun nedenini ayrıntılı bir şekilde araştırıp kendi başınıza ve bir genel destek forumundaki topluluğun yardımıyla çözene kadar ürün birimiyle ilgili bir sorun açmayın. Ürün birimi, basit yanlış yapılandırma veya üçüncü taraf hizmetleri içeren kullanım örnekleri nedeniyle bozulan tek tek uygulamalarda sorun gideremez. Bir rapor doğası gereği hassas veya gizliyse veya siber saldırganların yararlanabileceği üründe olası bir güvenlik açığını açıklıyorsa bkz . Güvenlik sorunlarını ve hatalarını raporlama (dotnet/aspnetcore GitHub deposu).

• ME-ID için yetkisiz istemci

  bilgi: Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2] Yetkilendirme başarısız oldu. Bu gereksinimler karşılanmadı: DenyAnonymousAuthorizationRequirement: Kimliği doğrulanmış bir kullanıcı gerektirir.

  ME-ID'den oturum açma geri çağırma hatası:

  • Hata: unauthorized_client
  • Açıklama: AADB2C90058: The provided application is not configured to allow public clients.

  Hatayı düzeltmek için:

  1. Azure portalında uygulamanın bildirimine erişin.
  2. özniteliğini allowPublicClient veya nullolarak true ayarlayın.

Çerezler ve site verileri

Tanımlama bilgileri ve site verileri uygulama güncelleştirmeleri arasında kalıcı olabilir ve test ve sorun gidermeyi etkileyebilir. Uygulama kodu değişiklikleri, sağlayıcıyla kullanıcı hesabı değişiklikleri veya sağlayıcı uygulaması yapılandırma değişiklikleri yaparken aşağıdakileri temizleyin:

• Kullanıcı giriş tanımlama bilgileri
• Uygulama tanımlama bilgileri
• Önbelleğe alınan ve depolanan site verileri

Kalan tanımlama bilgilerinin ve site verilerinin test ve sorun gidermeye engel olmasını önlemeye yönelik bir yaklaşım:

• Tarayıcı yapılandırma
  • Tarayıcı her kapatıldığında tüm cookie ve site verilerini silmek üzere yapılandırabileceğiniz test için bir tarayıcı kullanın.
  • Uygulama, test kullanıcısı veya sağlayıcı yapılandırmasında yapılan herhangi bir değişiklik için tarayıcının el ile veya IDE tarafından kapatıldığını doğrulayın.
• Visual Studio'da InPrivate veya Gizli modda tarayıcı açmak için özel bir komut kullanın:
  • Visual Studio'nun Çalıştır düğmesinden Gözat iletişim kutusunu açın.
  • Ekle düğmesini seçin.
  • Program alanında tarayıcınızın yolunu belirtin. Aşağıdaki yürütülebilir yollar Windows 10 için tipik yükleme konumlarıdır. Tarayıcınız farklı bir konumda yüklüyse veya Windows 10 kullanmıyorsanız, tarayıcının yürütülebilir dosyasının yolunu sağlayın.
    • Microsoft Edge: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
    • Google Chrome: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    • Mozilla Firefox: C:\Program Files\Mozilla Firefox\firefox.exe
  • Argümanlar alanında, tarayıcının InPrivate veya Gizli modda açmak için kullandığı komut satırı seçeneğini belirtin. Bazı tarayıcılar uygulamanın URL'sini gerektirir.
    • Microsoft Edge: kullanın -inprivate.
    • Google Chrome: --incognito --new-window {URL} kullanın; burada {URL} yer tutucu açılacak URL'dir (örneğin, https://localhost:5001).
    • Mozilla Firefox: -private -url {URL} yer tutucusunun URL'sini açmak için {URL} kullanın (örneğin, https://localhost:5001).
  • Kolay ad alanına bir ad girin. Örneğin, Firefox Auth Testing.
  • Tamam düğmesini seçin.
  • Bir uygulamayla yapılan her test yinelemesi için tarayıcı profilini seçmek zorunda kalmamak için Varsayılan Olarak Ayarla düğmesiyle profili varsayılan olarak ayarlayın.
  • Uygulama, test kullanıcısı veya sağlayıcı yapılandırmasında yapılan herhangi bir değişiklik için tarayıcının IDE tarafından kapatıldığını doğrulayın.

Uygulama yükseltmeleri

Çalışan bir uygulama, geliştirme makinesindeki .NET SDK'sını yükselttikten veya uygulama içindeki paket sürümlerini değiştirdikten hemen sonra başarısız olabilir. Bazı durumlarda, tutarsız paketler ana yükseltmeler yaparken bir uygulamayı bozabilir. Bu sorunların çoğu şu yönergeleri izleyerek düzeltilebilir:

1. Komut kabuğunda çalıştırarak dotnet nuget locals all --clear yerel sistemin NuGet paket önbelleklerini temizleyin.
2. Proje bin ve obj klasörlerini silin.
3. Projeyi geri yükleyin ve yeniden oluşturun.
4. Uygulamayı yeniden dağıtmadan önce sunucudaki dağıtım klasöründeki tüm dosyaları silin.

Note

Uygulamanın hedef çerçevesiyle uyumlu olmayan paket sürümlerinin kullanımı desteklenmez. Paket hakkında bilgi için NuGet Gallerykullanın.

Server Uygulamayı çalıştırma

Barındırılan Blazor WebAssemblybir çözümü test ederken ve sorun giderirken uygulamayı projeden çalıştırdığınızdan Server emin olun.

Kullanıcıyı inceleme

Aşağıdaki User bileşen doğrudan uygulamalarda kullanılabilir veya daha fazla özelleştirme için temel olarak kullanılabilir.

User.razor:

@page "/user"
@attribute [Authorize]
@using System.Text.Json
@using System.Security.Claims
@inject IAccessTokenProvider AuthorizationService

<h1>@AuthenticatedUser?.Identity?.Name</h1>

<h2>Claims</h2>

@foreach (var claim in AuthenticatedUser?.Claims ?? Array.Empty<Claim>())
{
    <p class="claim">@(claim.Type): @claim.Value</p>
}

<h2>Access token</h2>

<p id="access-token">@AccessToken?.Value</p>

<h2>Access token claims</h2>

@foreach (var claim in GetAccessTokenClaims())
{
    <p>@(claim.Key): @claim.Value.ToString()</p>
}

@if (AccessToken != null)
{
    <h2>Access token expires</h2>

    <p>Current time: <span id="current-time">@DateTimeOffset.Now</span></p>
    <p id="access-token-expires">@AccessToken.Expires</p>

    <h2>Access token granted scopes (as reported by the API)</h2>

    @foreach (var scope in AccessToken.GrantedScopes)
    {
        <p>Scope: @scope</p>
    }
}

@code {
    [CascadingParameter]
    private Task<AuthenticationState> AuthenticationState { get; set; }

    public ClaimsPrincipal AuthenticatedUser { get; set; }
    public AccessToken AccessToken { get; set; }

    protected override async Task OnInitializedAsync()
    {
        await base.OnInitializedAsync();
        var state = await AuthenticationState;
        var accessTokenResult = await AuthorizationService.RequestAccessToken();

        if (!accessTokenResult.TryGetToken(out var token))
        {
            throw new InvalidOperationException(
                "Failed to provision the access token.");
        }

        AccessToken = token;

        AuthenticatedUser = state.User;
    }

    protected IDictionary<string, object> GetAccessTokenClaims()
    {
        if (AccessToken == null)
        {
            return new Dictionary<string, object>();
        }

        // header.payload.signature
        var payload = AccessToken.Value.Split(".")[1];
        var base64Payload = payload.Replace('-', '+').Replace('_', '/')
            .PadRight(payload.Length + (4 - payload.Length % 4) % 4, '=');

        return JsonSerializer.Deserialize<IDictionary<string, object>>(
            Convert.FromBase64String(base64Payload));
    }
}

JSON Web Belirtecinin (JWT) içeriğini inceleme

JSON Web Belirtecinin (JWT) kodunu çözmek için Microsoft'un jwt.ms aracını kullanın. Kullanıcı arabirimindeki değerler hiçbir zaman tarayıcınızdan ayrılmaz.

Kodlanmış JWT örneği (görüntü için kısaltıldı):

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ilg1ZVhrNHh5b2pORnVtMWtsMll0djhkbE5QNC1j ... bQdHBHGcQQRbW7Wmo6SWYG4V_bU55Ug_PW4pLPr20tTS8Ct7_uwy9DWrzCMzpD-EiwT5IjXwlGX3IXVjHIlX50IVIydBoPQtadvT7saKo1G5Jmutgq41o-dmz6-yBMKV2_nXA25Q

Azure AAD B2C'de kimlik doğrulaması yapan bir uygulama için araç tarafından çözülen JWT örneği:

{
  "typ": "JWT",
  "alg": "RS256",
  "kid": "X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk"
}.{
  "exp": 1610059429,
  "nbf": 1610055829,
  "ver": "1.0",
  "iss": "https://mysiteb2c.b2clogin.com/11112222-bbbb-3333-cccc-4444dddd5555/v2.0/",
  "sub": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "aud": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "nonce": "bbbb0000-cccc-1111-dddd-2222eeee3333",
  "iat": 1610055829,
  "auth_time": 1610055822,
  "idp": "idp.com",
  "tfp": "B2C_1_signupsignin"
}.[Signature]

Ek kaynaklar

• Azure Uygulaması Hizmetine Dağıtım
• Key Vault'tan sertifika içeri aktarma (Azure belgeleri)
• ASP.NET Core Blazor WebAssembly ek güvenlik senaryoları
• Güvenli bir varsayılan istemciye sahip bir uygulamada kimliği doğrulanmamış veya yetkisiz web API'si istekleri
• ASP.NET Core'ı ara sunucularla ve yük dengeleyicilerle çalışacak şekilde yapılandırma: Aşağıdakilere ilişkin yönergeler içerir:
  • Ara sunucular ve iç ağlar arasında HTTPS şeması bilgilerini korumak için İletilen Üst Bilgiler Ara Yazılımını kullanma.
  • El ile düzen yapılandırması, doğru istek yönlendirme için istek yolu değişiklikleri ve Linux ve IIS dışı ters ara sunucular için istek şemasını iletme gibi ek senaryolar ve kullanım örnekleri.
• Duende Identity Sunucusu