你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Active Directory B2C 在 React 应用程序中配置身份验证选项

本文介绍自定义和增强 React 单页应用程序 (SPA) 的 Azure Active Directory B2C (Azure AD B2C) 身份验证体验的方式。 在开始之前,请先熟悉以下文章:在 React SPA 中配置身份验证在你自己的 React SPA 中启用身份验证

登录和注销行为

可以通过两种方式将单页应用程序配置为使用 MSAL.js 登录用户:

  • 弹出窗口:身份验证在弹出窗口中发生,并保留应用程序的状态。 如果不希望用户在身份验证过程中离开应用程序页,请使用此方法。 Internet Explorer 上的弹出窗口存在已知问题
    • 若要使用弹出窗口登录,请使用 loginPopup 方法。
    • 若要使用弹出窗口注销,请使用 logoutPopup 方法。
  • 重定向:将用户重定向到 Azure AD B2C 以完成身份验证流。 如果用户有禁用弹出窗口的浏览器限制或策略,请使用此方法。
    • 若要使用重定向登录,请使用 loginRedirect 方法。
    • 若要使用重定向注销,请使用 logoutRedirect 方法。

以下示例演示了如何登录和注销:

// src/components/NavigationBar.jsx
instance.loginPopup(loginRequest)
            .catch((error) => console.log(error))

instance.logoutPopup({ postLogoutRedirectUri: "/", mainWindowRedirectUri: "/" })

使用自定义域

通过使用自定义域,可以完全标记身份验证 URL。 从用户的角度来看,用户在身份验证过程中仍留在你的域中,而不是重定向到 Azure AD B2C b2clogin.com 域名。

若要删除对 URL 中“b2c”的所有引用,还可以将身份验证请求 URL 中的 B2C 租户名称 (contoso.onmicrosoft.com) 替换为你的租户 ID GUID。 例如,可以将 https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/ 更改为 https://account.contosobank.co.uk/<tenant ID GUID>/

若要将自定义域用于身份验证 URL 中的租户 ID,请按照启用自定义域中的指南进行操作。 打开 src/authConfig.js MSAL 配置对象并将 authoritiesknownAuthorities 更改为使用自定义域名和租户 ID。

以下 JavaScript 显示了更改前的 MSAL 配置对象:

const msalConfig = {
    auth: {
      ...
      authority: "https://fabrikamb2c.b2clogin.com/fabrikamb2c.onmicrosoft.com/B2C_1_susi",
      knownAuthorities: ["fabrikamb2c.b2clogin.com"],
      ...
    },
  ...
}

以下 JavaScript 显示了更改后的 MSAL 配置对象:

export const b2cPolicies = {
    names: {
        signUpSignIn: "b2c_1_susi",
        forgotPassword: "b2c_1_reset",
        editProfile: "b2c_1_edit_profile"
    },
    authorities: {
        signUpSignIn: {
            authority: "https://custom.domain.com/00000000-0000-0000-0000-000000000000/b2c_1_susi",
        },
        forgotPassword: {
            authority: "https://custom.domain.com/00000000-0000-0000-0000-000000000000/b2c_1_reset",
        },
        editProfile: {
            authority: "https://custom.domain.com/00000000-0000-0000-0000-000000000000/b2c_1_edit_profile"
        }
    },
    authorityDomain: "custom.domain.com"
}

预填充登录名

在登录用户旅程中,你的应用可能会针对特定用户。 当应用针对用户时,它可以在授权请求中使用用户登录名指定 login_hint 查询参数。 Azure AD B2C 自动填充登录名,用户只需要提供密码。

若要预填充登录名,请执行下列操作:

  1. 如果使用自定义策略,请按照设置直接登录中的说明添加所需的输入声明。
  2. 创建或使用现有的 PopupRequestRedirectRequest MSAL 配置对象。
  3. 使用相应的登录提示设置 loginHint 属性。

以下代码片段演示如何传递登录提示参数。 它们使用 bob@contoso.com 作为属性值。

// src/components/NavigationBar.jsx
loginRequest.loginHint = "bob@contoso.com";
instance.loginPopup(loginRequest);

预先选择标识提供程序

如果已将应用程序的登录旅程配置为包括社交帐户(如 Facebook、LinkedIn 或 Google),则可以指定 domain_hint 参数。 此查询参数向 Azure AD B2C 提供有关应该用于登录的社交标识提供者的提示。 例如,如果应用程序指定 domain_hint=facebook.com,登录流会直接转到 Facebook 登录页。

要将用户重定向到外部标识提供程序,请执行以下操作:

  1. 检查外部标识提供者的域名。 有关详细信息,请参阅将登录重定向到社交服务提供商
  2. 创建或使用现有的 PopupRequestRedirectRequest MSAL 配置对象。
  3. 使用相应的域提示设置 domainHint 属性。

以下代码片段演示如何传递域提示参数。 它们使用 facebook.com 作为属性值。

// src/components/NavigationBar.jsx
loginRequest.domainHint = "facebook.com";
instance.loginPopup(loginRequest);

指定 UI 语言

可使用 Azure AD B2C 中的语言自定义让用户流适应各种不同的语言,从而满足客户需求。 有关详细信息,请参阅语言自定义

要设置首选语言,请执行下列操作:

  1. 配置语言自定义
  2. 创建或使用具有 extraQueryParameters 属性的现有 PopupRequestRedirectRequest MSAL 配置对象。
  3. 将具有相应语言代码的 ui_locales 参数添加到 extraQueryParameters 属性。

以下代码片段演示如何传递域提示参数。 它们使用 es-es 作为属性值。

// src/components/NavigationBar.jsx
loginRequest.extraQueryParameters = {"ui_locales" : "es-es"};
instance.loginPopup(loginRequest);

传递自定义查询字符串参数

借助自定义策略,可以传递自定义查询字符串参数。 例如,当你需要动态更改页面内容时。

若要传递自定义查询字符串参数,请执行以下操作:

  1. 配置 ContentDefinitionParameters 元素。
  2. 创建或使用具有 extraQueryParameters 属性的现有 PopupRequestRedirectRequest MSAL 配置对象。
  3. 添加自定义查询字符串参数(如 campaignId)。 设置参数值。

以下代码片段演示如何传递自定义查询字符串参数。 它们使用 germany-promotion 作为属性值。

// src/components/NavigationBar.jsx
loginRequest.extraQueryParameters = {"campaignId": 'germany-promotion'};
instance.loginPopup(loginRequest);

传递 ID 令牌提示

信赖方应用可随附 OAuth2 授权请求发送入站 JSON Web 令牌 (JWT)。 入站令牌是有关用户或授权请求的提示。 Azure AD B2C 会验证令牌,然后提取声明。

要在身份验证请求中包含 ID 令牌提示,请执行以下操作:

  1. 在自定义策略中,定义 ID 令牌提示的技术配置文件
  2. 创建或使用具有 extraQueryParameters 属性的现有 PopupRequestRedirectRequest MSAL 配置对象。
  3. 使用可存储 ID 令牌的相应变量添加 id_token_hint 参数。

以下代码片段演示如何定义 ID 令牌提示:

// src/components/NavigationBar.jsx
loginRequest.extraQueryParameters = {"id_token_hint": idToken};
instance.loginPopup(loginRequest);

配置日志记录

MSAL 库生成可帮助诊断问题的日志消息。 应用可配置日志记录。 应用还可以让你对详细程度以及是否记录个人和组织数据进行自定义控制。

建议创建 MSAL 日志记录回叫,并提供一种方式来让用户在遇到身份验证问题时提交日志。 MSAL 提供以下级别的日志记录详细信息:

  • 错误:出现问题并已生成错误。 此级别用于调试并确定问题。
  • 警告:不一定会出现错误或故障,但该信息用于诊断和找到问题。
  • 信息:MSAL 记录用于参考但不一定用于调试的事件。
  • 详细:这是默认级别。 MSAL 将记录库行为的完整详细信息。

默认情况下,MSAL 记录器不捕获任何个人或组织数据。 该库提供相关选项,允许你自行决定是否记录个人和组织数据。

若要配置 MSAL 日志记录,请在 src/authConfig.js 中配置以下键:

  • loggerCallback 是记录器回调函数。
  • logLevel 允许指定日志记录级别。 可能的值:ErrorWarningInfoVerbose
  • piiLoggingEnabled 启用个人数据的输入。 可能的值:truefalse

下面的代码片段演示如何配置 MSAL 日志记录:

export const msalConfig = {
  ...
  system: {
    loggerOptions: {
        loggerCallback: (logLevel, message, containsPii) => {  
            console.log(message);
          },
          logLevel: LogLevel.Verbose,
          piiLoggingEnabled: false
      }
  }
  ...
}

后续步骤