你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure AD B2C 在调用 Web API 的示例 Web 应用中配置身份验证

  • 项目

本文使用一个示例 ASP.NET Web 应用,该示例通过调用 Web API 来说明如何将 Azure Active Directory B2C (Azure AD B2C) 身份验证添加到 Web 应用中。

重要

本文中引用的示例 ASP.NET Web 应用用于调用带有持有者令牌的 Web API。 对于不调用 Web API 的 Web 应用,请参阅使用 Azure AD B2C 在示例 Web 应用中配置身份验证

概述

OpenID Connect (OIDC) 是在 OAuth 2.0 上构建的身份验证协议。 可以使用 OIDC 将用户安全地登录到应用程序。 此 Web 应用示例使用 Microsoft Identity Web。 Microsoft Identity Web 是一组 ASP.NET Core 库,可简化向 Web 应用(该应用可调用安全的 Web API)添加身份验证和授权支持的过程。

登录流涉及以下步骤:

  1. 用户前往 Web 应用,并选择“登录”。

  2. 应用发起身份验证请求,并将用户重定向到 Azure AD B2C。

  3. 用户注册或登录并重置密码。 或者,用户也可以使用社交帐户登录。

  4. 用户成功登录后,Azure AD B2C 向应用返回一个授权代码。

  5. 然后此应用执行以下操作:

    a. 将此授权代码交换到 ID 令牌、访问令牌和刷新令牌。
    b. 读取 ID 令牌声明,并保留应用程序授权 cookie。
    c. 将刷新令牌存储在内存中的缓存中供以后使用。

应用注册概述

若要让应用能够使用 Azure AD B2C 登录并调用 Web API,你需要在 Azure AD B2C 目录中注册两个应用程序。

  • Web 应用注册能让你的应用使用 Azure AD B2C 登录。 在注册过程中,你需要指定重定向 URI。 重定向 URI 是用户在使用 Azure AD B2C 完成身份验证后,Azure AD B2C 将用户重定向到的终结点。 此应用注册过程会生成应用程序 ID(也称为“客户端 ID”),将其作为该应用的唯一标识。 你还将创建一个客户端密码,你的应用可使用该密码安全地获取令牌。

  • Web API 注册可使应用调用安全的 Web API。 注册内容包括 Web API 的作用域。 作用域提供了一种方法来管理受保护资源(例如你的 Web API)的访问权限。 你可以向 Web API 的作用域授予 Web 应用访问权限。 在请求访问令牌时,你的应用需要在请求的作用域参数中指定所需的访问权限。

下图演示了应用体系结构和注册:

Diagram of a web app with web API call registrations and tokens.

调用 Web API

身份验证完成后,用户将与应用交互,应用会调用受保护的 Web API。 Web API 使用持有者令牌身份验证。 持有者令牌是应用从 Azure AD B2C 获取的访问令牌。 应用在 HTTPS 请求的授权标头中传递令牌。

Authorization: Bearer <access token>

如果访问令牌范围与 Web API 范围不一致,身份验证库将获取具有正确范围的新访问令牌。

注销

注销流程涉及以下步骤:

  1. 用户从应用中注销。
  2. 应用清除其会话对象,并且身份验证库清除其令牌缓存。
  3. 应用将用户定向到 Azure AD B2C 注销终结点,以终止 Azure AD B2C 会话。
  4. 用户被重定向回应用。

先决条件

运行以下两者之一的计算机:

步骤 1:配置用户流

当用户尝试登录你的应用时,该应用会通过用户流向授权终结点发起身份验证请求。 用户流定义并控制用户体验。 用户完成用户流后,Azure AD B2C 会生成一个令牌,然后将用户重定向回应用程序。

创建用户流或自定义策略(如果你尚未这样做)。 重复这些步骤以按如下所述创建三个单独的用户流:

  • 组合的“登录和注册”用户流,例如 susi。 此用户流还支持“忘记密码”体验。
  • “个人资料编辑”用户流,例如 edit_profile
  • “密码重置”用户流,例如 reset_password

Azure AD B2C 将在用户流名称前面追加 B2C_1_。 例如,susi 重命名为 B2C_1_susi

步骤 2:注册 Web 应用

在此步骤中,你将创建 Web 应用和 Web API 应用程序注册,并指定 Web API 的作用域。

步骤 2.1:注册 Web API 应用

请按照以下步骤创建 Web API 应用注册(应用 ID: 2):

  1. 登录 Azure 门户

  2. 确保正在使用的目录包含 Azure AD B2C 租户。 在门户工具栏中选择“目录 + 订阅”图标。

  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。

  4. 在 Azure 门户中,搜索并选择“Azure AD B2C”。

  5. 选择“应用注册”,然后选择“新建注册” 。

  6. 对于名称,请输入应用程序的名称(例如 my-api1) 。 保留“重定向 URI”和“支持的帐户类型”的默认值。

  7. 选择“注册”。

  8. 完成应用注册后,选择“概述”。

  9. 记录“应用程序(客户端) ID”值,以便在稍后配置 Web 应用程序时使用。

    Screenshot that demonstrates how to get a web A P I application I D.

步骤 2.2:配置 Web API 应用的作用域

  1. 选择所创建的 my-api1 应用程序(应用 ID:2)以打开其“概述”页面 。

  2. 在“管理”下,选择“公开 API” 。

  3. 选择“应用程序 ID URI”旁边的“设置”链接。 将默认值 (GUID) 替换为一个唯一名称(例如“tasks-api”),然后选择“保存”。

    Web 应用在请求 Web API 的访问令牌时,应将此 URI 添加为你为 API 定义的每个范围的前缀。

  4. 在“此 API 定义的范围”下选择“添加范围”。

  5. 若要创建一个用于定义对 API 的读取访问权限的范围,请执行以下操作:

    1. 对于“范围名称”,输入“tasks.read” 。
    2. 对于“管理员同意显示名称”,输入“对任务 API 的读取访问权限” 。
    3. 对于“管理员同意说明”,输入“允许对任务 API 进行读取访问” 。

  6. 选择“添加作用域”。

  7. 选择“添加范围”,然后添加一个用于定义对 API 的写入访问权限的范围:

    1. 对于“范围名称”,输入“tasks.write” 。
    2. 对于“管理员同意显示名称”,“对任务 API 的写入访问权限” 。
    3. 对于“管理员同意说明”,输入“允许对任务 API 进行写入访问” 。

  8. 选择“添加作用域”。

步骤 2.3:注册 Web 应用

若要创建 Web 应用注册,请执行下列操作:

  1. 选择“应用注册”,然后选择“新建注册” 。

  2. 在“名称”下,输入应用程序的名称(例如 webapp1)。

  3. 在“支持的帐户类型”下,选择“任何标识提供者或组织目录中的帐户(用于通过用户流对用户进行身份验证)” 。

  4. 在“重定向 URI”下,选择“Web”,然后在 URL 框中输入 https://localhost:5000/signin-oidc

  5. 在“权限”下,选中“授予对 OpenID 和脱机访问权限的管理员许可”复选框。

  6. 选择“注册” 。

  7. 完成应用注册后,选择“概述”。

  8. 记录“应用程序(客户端) ID”,以便在稍后配置 Web 应用程序时使用。

    Screenshot of the web app Overview page for recording your web application ID.

步骤 2.4:创建 Web 应用客户端密码

为注册的 Web 应用创建客户端密码。 Web 应用程序在请求令牌时使用客户端机密来证明其身份。

  1. 在“管理”下,选择“证书和机密”
  2. 选择“新建客户端机密”。
  3. 在“说明”框中输入客户端机密的说明(例如 clientsecret1)。
  4. 在“过期时间”下,选择机密持续生效的时间,然后选择“添加”。
  5. 记下机密的“值”。 在稍后的步骤中将使用此值进行配置。

步骤 2.5:为 Web API 授予 Web 应用权限

若要向应用(应用 ID:1)授予权限,请执行以下步骤:

  1. 选择“应用注册”,然后选择你所创建的应用(应用 ID:1) 。

  2. 在“管理”下选择“API 权限”。

  3. 在“已配置权限”下,选择“添加权限”。

  4. 选择“我的 API”选项卡。

  5. 选择应授予 Web 应用程序访问权限的 API(应用 ID:2)。 例如,输入“my-api1”。

  6. 在“权限”下展开“任务”,然后选择之前定义的范围(例如,tasks.read 和 tasks.write )。

  7. 选择“添加权限”。

  8. 选择“向<租户名称>授予管理员许可”。

  9. 选择 “是”

  10. 选择“刷新”,然后验证两个范围的“状态”下是否均显示“已授予...” 。

  11. 从“配置权限”列表中,选择范围,然后复制范围全名。

    Screenshot of the configured permissions pane, showing that read access permissions are granted.

步骤 3:获取 Web 应用示例

下载 zip 文件,或运行以下 Bash 命令,从 GitHub 克隆示例 Web 应用。

git clone https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2

将示例文件提取到文件夹,该文件夹的路径总字符长度不超过 260 个字符。

步骤 4:配置示例 Web API

在示例文件夹中的 4-WebApp-your-API/4-2-B2C/TodoListService 文件夹中,使用 Visual Studio 或 Visual Studio Code 打开 TodoListService.csproj 项目。

在项目根文件夹下,打开 appsettings.json 文件。 此文件包含有关 Azure AD B2C 标识提供者的信息。 Web API 应用使用此信息来验证访问令牌,该访问令牌由 Web 应用当作持有者令牌传递。 更新应用设置的以下属性:

部分 密钥
AzureAdB2C 实例 Azure AD B2C 租户名称的第一个部分。 例如,https://contoso.b2clogin.com
AzureAdB2C Azure AD B2C 租户的完整租户名称。 例如,contoso.onmicrosoft.com
AzureAdB2C ClientId 步骤 2.1 中的 Web API 应用 ID。
AzureAdB2C SignUpSignInPolicyId 用户流,或在步骤 1 中创建的自定义策略。

你的最终配置文件应类似于下面的 JSON 文件:

{
  "AzureAdB2C": {
    "Instance": "https://contoso.b2clogin.com",
    "Domain": "contoso.onmicrosoft.com",
    "ClientId": "<web-api-app-application-id>",
    "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
    "SignUpSignInPolicyId": "<your-sign-up-in-policy>"
  },
  // More settings here
}

步骤 4.1:设置权限策略

Web API 将验证用户是否已使用持有者令牌进行身份验证,以及持有者令牌是否已配置接受的作用域。 如果持有者令牌不具有其中任何一个接受的作用域,则 Web API 将返回 HTTP 状态代码 403(已禁止)并向响应正文写入一条消息,告知令牌中应配置哪些作用域。

若要配置接受的范围,请打开 Controller/TodoListController.cs 类,然后设置范围名称(不含完整 URI)。

[RequiredScope("tasks.read")]

步骤 4.2:运行示例 Web API 应用

若要允许 Web 应用调用 Web API 示例,请执行以下操作来运行 Web API:

  1. 如果系统要求你这样做,请还原依赖项。
  2. 生成并运行该项目。
  3. 生成项目后,Visual Studio 或 Visual Studio Code 将使用以下地址在浏览器中启动 Web API:https://localhost:44332.

步骤 5:配置示例 Web 应用

在示例文件夹中的 4-WebApp-your-API/4-2-B2C/Client 文件夹下,使用 Visual Studio 或 Visual Studio Code 打开 TodoListClient.csproj 项目。

在项目根文件夹下,打开 appsettings.json 文件。 此文件包含有关 Azure AD B2C 标识提供者的信息。 Web 应用使用此信息与 Azure AD B2C 建立信任关系、允许用户登录和注销、获取令牌和验证令牌。 更新应用设置的以下属性:

部分 密钥
AzureAdB2C 实例 Azure AD B2C 租户名称的第一部分(例如 https://contoso.b2clogin.com)。
AzureAdB2C Azure AD B2C 租户的完整租户名称(例如 contoso.onmicrosoft.com)。
AzureAdB2C ClientId 步骤 2.3 中的 Web 应用 ID。
AzureAdB2C ClientSecret 步骤 2.4 中的 Web 应用密码。
AzureAdB2C SignUpSignInPolicyId 用户流,或在步骤 1 中创建的自定义策略。
TodoList TodoListScope 你在步骤 2.5 中创建的 Web API 作用域。
TodoList TodoListBaseAddress Web API 的基 URI(例如 https://localhost:44332)。

你的最终配置文件应类似于下面的 JSON:

{
  "AzureAdB2C": {
    "Instance": "https://contoso.b2clogin.com",
    "Domain": "contoso.onmicrosoft.com",
    "ClientId": "<web-app-application-id>",
    "ClientSecret": "<web-app-application-secret>",  
    "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
    "SignUpSignInPolicyId": "<your-sign-up-in-policy>"
  },
  "TodoList": {
    "TodoListScope": "https://contoso.onmicrosoft.com/api/demo.read",
    "TodoListBaseAddress": "https://localhost:44332"
  }
}

步骤 6:运行示例 Web 应用

  1. 生成并运行该项目。
  2. 浏览到 https://localhost:5000
  3. 完成注册或登录过程。

身份验证成功后,你会在导航栏中看到显示名称。 若要查看 Azure AD B2C 令牌返回到应用的声明,请选择“TodoList”。

Screenshot of the web app token claims.

部署应用程序

在生产应用程序中,应用注册重定向 URI 通常是运行应用的可公开访问的终结点,比如 https://contoso.com/signin-oidc

可以随时在注册的应用程序中添加和修改重定向 URI。 重定向 URI 存在以下限制:

  • 回复 URL 必须以方案 https 开头。
  • 回复 URL 区分大小写。 其大小写必须与正在运行的应用程序的 URL 路径的大小写匹配。

Web 应用的令牌缓存

Web 应用示例使用内存中令牌缓存序列化。 此实现在示例中非常有用。 如果你不介意令牌缓存在 Web 应用重启后会丢失这一情况,那么它也适用于生产应用程序。

对于生产环境,建议使用分布式内存缓存。 例如 Redis 缓存、NCache 或 SQL Server 缓存。 有关分布式内存缓存实现的详细信息,请参阅令牌缓存序列化

后续步骤