受保護的 Web API：程式代碼設定

發行項
03/16/2024

若要設定受保護 Web API 的程式碼，請瞭解：

將 API 定義為受保護的專案。
如何設定持有人令牌。
如何驗證令牌。

哪些專案會將 ASP.NET 和 ASP.NET 核心 API 定義為受保護？

如同 Web 應用程式，ASP.NET 和 ASP.NET Core Web API 會受到保護，因為它們的控制器動作前面會加上 [Authorize] 屬性。只有在使用授權的身分識別呼叫 API 時，才能呼叫控制器動作。

請考量下列問題：

只有應用程式可以呼叫 Web API。 API 如何知道呼叫應用程式的身分識別？
如果應用程式代表使用者呼叫 API，該使用者的身分識別為何？

持有人令牌

呼叫應用程式時，在標頭中設定的持有人令牌會保存應用程式身分識別的相關信息。它也會保存使用者的相關信息，除非 Web 應用程式接受來自精靈應用程式的服務對服務呼叫。

以下是 C# 程式代碼範例，其會在用戶端使用適用於 .NET 的 Microsoft 驗證連結庫取得令牌之後，顯示呼叫 API 的用戶端（MSAL.NET）：

var scopes = new[] {$"api://.../access_as_user"};
var result = await app.AcquireToken(scopes)
                      .ExecuteAsync();

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);

重要

用戶端應用程式會向 Web API 的 Microsoft 身分識別平台要求持有人令牌。 API 是唯一應該驗證令牌並檢視其包含宣告的應用程式。用戶端應用程式不應該嘗試檢查令牌中的宣告。

未來，Web API 可能需要加密令牌。這項需求會防止可檢視取令牌的用戶端應用程式存取。

JwtBearer 組態

本節說明如何設定持有人令牌。

組態檔

只有在您想要接受來自單一租使用者（企業營運應用程式）的存取令牌時，才需要指定 TenantId 。否則，它可以保留為 common。不同的值可以是：

GUID （租使用者識別碼 = 目錄識別子）
common 可以是任何組織和個人帳戶
organizations 可以是任何組織
consumers 是 Microsoft 個人帳戶

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
}

使用 Web API 的自訂應用程式識別碼 URI

如果您已接受 Azure 入口網站建議的預設應用程式識別碼 URI，則不需要指定物件（請參閱應用程式識別碼 URI 和範圍）。否則，請新增 Audience 屬性，其值為 Web API 的應用程式識別碼 URI。這通常以 api://開頭。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common",
    "Audience": "Enter_the_Application_ID_URI_here"
  },
}

程式代碼初始化

在保存 [授權] 屬性的控制器動作上呼叫應用程式時，ASP.NET 並 ASP.NET Core 從 Authorization 標頭的持有人令牌擷取存取令牌。存取令牌接著會轉送至 JwtBearer 中間件，此中間件會呼叫適用於 .NET 的 Microsoft IdentityModel Extensions。

Microsoft 建議您在使用 ASP.NET Core 開發 Web API 時，使用 Microsoft.Identity.Web NuGet 套件。

Microsoft.Identity.Web 提供 ASP.NET Core、驗證中間件和適用於 .NET 的 Microsoft 驗證連結庫（MSAL）之間的黏附。它可讓您更清楚、更健全的開發人員體驗，並運用 Microsoft 身分識別平台和 Azure AD B2C 的強大功能。

適用於 .NET 6.0 的 ASP.NET

若要建立使用 Microsoft.Identity.Web 的新 Web API 專案，請使用 .NET 6.0 CLI 或 Visual Studio 中的項目範本。

Dotnet core CLI

# Create new web API that uses Microsoft.Identity.Web
dotnet new webapi --auth SingleOrg

Visual Studio - 若要在 Visual Studio 中建立 Web API 專案，請選取 [檔案>新>專案>] ASP.NET Core Web API。

.NET CLI 和 Visual Studio 專案範本都會建立類似 此代碼段的Program.cs 檔案。請注意 Microsoft.Identity.Web using 指示詞和包含驗證和授權的行。

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.Identity.Web;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(builder.Configuration.GetSection("AzureAd"));

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

app.UseHttpsRedirection();

app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

Microsoft 建議您在使用 ASP.NET 開發 Web API 時，使用 Microsoft.Identity.Web.OWIN NuGet 套件。

Microsoft.Identity.Web.OWIN 提供 ASP.NET、ASP.NET 驗證中間件和適用於 .NET 的 Microsoft 驗證連結庫（MSAL）之間的黏附。它可讓您更清楚、更健全的開發人員體驗，並運用 Microsoft 身分識別平台和 Azure AD B2C 的強大功能。

它會使用與 ASP.NET Core （appsettings.json）相同的組態檔，而且您必須確定此檔案是隨項目的輸出一起複製的（屬性複本一律位於 Visual Studio 或 .csproj 中的檔案屬性中）

Microsoft.Identity.Web.OWIN 會將擴充方法新增至名為 AddMicrosoftIdentityWebApi的 IAppBuilder。這些方法會採用的參數做為您取得呼叫OwinTokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>()的 OwinTokenAcquirerFactory 實例，並呈現的實例IServiceCollection，您可以在其中新增許多服務來呼叫下游 API 或設定令牌快取。

以下是Startup.Auth.cs的一些範例程序代碼。完整的程式代碼可從測試/DevApps/aspnet-mvc/OwinWebApp 取得

using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Owin;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Client;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.OWIN;
using System.Web.Services.Description;

namespace OwinWebApp
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

            app.AddMicrosoftIdentityWebApp(factory);
            factory.Services
                .Configure<ConfidentialClientApplicationOptions>(options => { options.RedirectUri = "https://localhost:44386/"; })
                .AddMicrosoftGraph()
                .AddDownstreamApi("DownstreamAPI1", factory.Configuration.GetSection("DownstreamAPI"))
                .AddInMemoryTokenCaches();
            factory.Build();
        }
    }
}

令牌驗證

在上述代碼段中，JwtBearer 中間件，例如 Web 應用程式中的 OpenID 連線中間件，會根據的值TokenValidationParameters來驗證令牌。令牌會視需要解密、擷取宣告，並驗證簽章。中間件接著會檢查此資料來驗證權杖：

物件：令牌是以 Web API 為目標。
子：已針對允許呼叫 Web API 的應用程式發出。
簽發者：它是由受信任的安全性令牌服務（STS）所簽發。
到期：其存留期在範圍內。
簽章：它並未遭到竄改。

也可以有特殊的驗證。例如，當內嵌在令牌中時，可以驗證簽署密鑰是否受信任，而且令牌不會重新執行。最後，某些通訊協定需要特定的驗證。

驗證

驗證步驟會擷取在驗證程式中，這些驗證步驟是由適用於 .NET 開放原始碼連結庫的 Microsoft IdentityModel Extensions 所提供。驗證程式定義於連結庫原始程序檔 Microsoft.IdentityModel.Tokens/Validators.cs中。

下表描述驗證程式：

驗證程式	描述
ValidateAudience	確定令牌適用於驗證令牌的應用程式。
ValidateIssuer	確定令牌是由信任的 STS 所簽發，這表示它來自您信任的人。
ValidateIssuerSigningKey	確保驗證令牌的應用程式信任用來簽署令牌的金鑰。有一個特殊案例，其中密鑰內嵌在令牌中。但這種情況通常不會發生。
ValidateLifetime	確定令牌仍然有效或已經有效。驗證程式會檢查令牌的存留期是否在 notbefore 所指定的範圍內，並過期宣告。
ValidateSignature	確保令牌未遭到竄改。
ValidateTokenReplay	確保令牌不會重新執行。有一些一次性使用通訊協定的特殊案例。

自定義令牌驗證

驗證程式會與 TokenValidationParameters 類別的屬性相關聯。屬性會從 ASP.NET 和 ASP.NET Core 組態初始化。

在大部分情況下，您不需要變更參數。不是單一租用戶的應用程式是例外狀況。這些 Web 應用程式接受任何組織或個人 Microsoft 帳戶的使用者。在此情況下，簽發者必須經過驗證。 Microsoft.Identity.Web 也會負責簽發者驗證。

在 ASP.NET Core 中，如果您想要自定義令牌驗證參數，請在Startup.cs中使用下列代碼段：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApi(Configuration);
services.Configure<JwtBearerOptions>(JwtBearerDefaults.AuthenticationScheme, options =>
{
  options.TokenValidationParameters.ValidAudiences = new[] { /* list of valid audiences */};
});

針對 ASP.NET MVC，下列程式代碼範例示範如何執行自定義令牌驗證：

https://github.com/azure-samples/active-directory-dotnet-webapi-manual-jwt-validation

Azure Functions 中的令牌驗證

您也可以驗證 Azure Functions 中的傳入存取令牌。您可以在 GitHub 上的下列程式代碼範例中找到這類驗證的範例：

.NET： Azure-Samples/ms-identity-dotnet-webapi-azurefunctions
Node.js： Azure-Samples/ms-identity-nodejs-webapi-azurefunctions
Python： Azure-Samples/ms-identity-python-webapi-azurefunctions）

下一步

請移至此案例中的下一篇文章，確認程式代碼中的範圍和應用程式角色。