对 Static Web Apps 进行身份验证和授权

请注意以下用于 Azure Static Web Apps 身份验证和授权的默认值和资源。

默认值：

• 任何用户都可以使用预配置的提供程序进行身份验证
  • GitHub
  • Microsoft Entra ID
  • 若要限制身份验证提供程序，请使用自定义路由规则阻止访问
• 登录后，用户属于 anonymous 和 authenticated 角色。 有关角色的详细信息，请参阅管理角色

资源：

• 在 staticwebapp.config.json 文件中定义规则，使授权用户能够访问受限制的路由
• 使用内置邀请系统为用户分配自定义角色
• 在登录时使用 API 函数以编程方式为用户分配自定义角色
• 了解身份验证和授权明显与路由概念重叠，这在应用程序配置指南中进行了详细介绍
• 通过配置自定义 Microsoft Entra ID 提供程序，将登录限制为特定的 Microsoft Entra ID 租户。 预配置的 Microsoft Entra ID 提供程序允许任何 Microsoft 帐户登录。

Azure 静态 Web 应用使用 /.auth 系统文件夹来提供对与授权相关的 API 的访问权限。 不要将 /.auth 文件夹中的任何路由直接公开给最终用户，而是为友好 URL 创建路由规则。

使用下表查找特定于提供程序的路由。

例如，若要使用 GitHub 登录，可以使用类似于以下示例的 URL。

<a href="/.auth/login/github">Login</a>

如果选择支持多个提供程序，请为网站上的每个提供程序使用特定于提供程序的链接。 使用路由规则将默认提供程序映射到类似于 /login 的友好路由。

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

设置登录后重定向

用户登录后，可以通过在 post_login_redirect_uri 查询字符串参数中提供完全限定的 URL 来将用户返回到特定页面。

/.auth/logout 路由将用户从网站注销。 可以添加指向站点导航的链接，以允许用户注销，如以下示例所示。

<a href="/.auth/logout">Log out</a>

使用路由规则映射类似于 /logout 的友好路由。

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

设置注销后重定向

若要在用户注销后将其返回到特定页面，请在 post_logout_redirect_uri 查询字符串参数中提供 URL。

阻止身份验证提供程序

所有身份验证提供程序都默认启用，但你可能想要限制应用使用某个提供程序。 例如，你的应用可能只想使用公开电子邮件地址的提供商。

若要阻止某个提供程序，可以创建路由规则，将请求的 404 状态代码返回到被阻止的特定于提供程序的路由。 例如，若要限制将 X（前 Twitter）作为提供程序，请添加以下路由规则。

以最终用户身份向应用程序授予同意时，应用程序可以访问你的电子邮件地址或用户名，具体取决于标识提供者。 提供此信息后，应用程序的所有者可以确定如何管理个人数据。

最终用户需要联系各个 Web 应用的管理员，才能从他们的系统中撤消此信息。

若要从 Azure Static Web Apps 平台中删除个人数据，并阻止平台提供有关将来请求的此信息，请使用以下 URL 提交请求：