我正在尝试使用Azure Active Directory V2在我的AspNetCore 2.1应用程序中设置Swagger,但我似乎无法正确使用它。我能够配置设置,以便swagger提示,重定向并成功验证我的客户端/用户,但是当将持有者令牌传递给服务器时会导致错误Bearer error="invalid_token", error_description="The signature is invalid"。我已经创建了一个GitHub存储库,其中包含我正在尝试使用其所有配置的项目(https://github.com/alucard112/auth-problem)
我已经设法通过将资源设置为AAD应用程序的客户端ID来使V1端点工作,这导致JWT令牌将“aud”设置为应用客户端ID。在V2端点中,'aud'被设置为我认为的图API API资源'00000003-0000-0000-c000-000000000000'。我相信这是我目前的问题,虽然我不是100%肯定。 V2端点似乎没有像V1那样定义观众的方法,除非我的方面有一些疏忽。
我的启动文件结构如下:
身份验证设置如下:
services.AddAuthentication(AzureADDefaults.BearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options));
services.Configure<JwtBearerOptions>(AzureADDefaults.JwtBearerAuthenticationScheme, options =>
{
options.Authority = $"https://login.microsoftonline.com/{tenantId}";
options.TokenValidationParameters = new TokenValidationParameters
{
// In multi-tenant apps you should disable issuer validation:
ValidateIssuer = false,
// In case you want to allow only specific tenants,
// you can set the ValidIssuers property to a list of valid issuer ids
// or specify a delegate for the IssuerValidator property, e.g.
// IssuerValidator = (issuer, token, parameters) => {}
// the validator should return the issuer string
// if it is valid and throw an exception if not
};
});
招摇的设定如下:
services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new Info
{
Title = "Protected Api",
});
c.OperationFilter<SecurityRequirementsOperationFilter>();
//IMATE - StevensW
// Define the OAuth2.0 scheme that's in use (i.e. Implicit Flow)
c.AddSecurityDefinition("oauth2", new OAuth2Scheme
{
Type = "oauth2",
Flow = "implicit",
AuthorizationUrl = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize",
TokenUrl = $"https://login.microsoftonline.com/common/{tenantId}/v2.0/token",
Scopes = new Dictionary<string, string>
{
{ "openid", "Unsure" },
{ "profile", "Also Unsure" }
}
});
});
app.UseSwagger();
app.UseSwaggerUI(c =>
{
c.SwaggerEndpoint("/swagger/v1/swagger.json", "My API V1");
c.OAuthClientId(Configuration.GetValue<string>("AzureAd:ClientId"));
c.OAuthAppName("Protected API");
//c.OAuthUseBasicAuthenticationWithAccessCodeGrant();
//c.OAuthClientSecret(Configuration.GetValue<string>("AzureAd:ClientId"));
});
我希望将swagger UI配置为使用AAD的V2端点,并允许多租户登录,以允许执行成功通过身份验证的API调用。任何帮助或方向将不胜感激。
我最终解决了我遇到的问题。通过this post工作帮助我理解了我的错误。
第一个错误是我的实际AAD应用程序注册。我没有在“Expose a API”下为应用程序设置范围。因为他们弃用了V2中的资源属性,所以设置资源的方式是创建格式为api“// {application ID} / {scope_name}的作用域。在我进行此更改后,我的AAD应用程序现在已正确配置。
之后,我需要在我的启动文件中添加一个额外的部分:
return services.Configure<JwtBearerOptions>(AzureADDefaults.JwtBearerAuthenticationScheme, options =>
{
// This is an Azure AD v2.0 Web API
options.Authority += "/v2.0";
// The valid audiences are both the Client ID (options.Audience) and api://{ClientID}
options.TokenValidationParameters.ValidAudiences = new string[] { options.Audience, $"api://{options.Audience}" };
options.TokenValidationParameters.ValidateIssuer = false;
});
注意:如果有人感兴趣,上面的链接提供了关闭发行人验证的替代解决方案。
仅需要定义Instance,TenantId和ClientId,我的AppSettings文件也得到了简化。
然后从一个招摇的角度来看,我只需要在安全定义中添加一个额外的范围,以匹配我在AAD应用程序中创建的范围。
c.AddSecurityDefinition("oauth2", new OAuth2Scheme
{
Type = "oauth2",
Flow = "implicit",
AuthorizationUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize",
TokenUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/token",
Scopes = new Dictionary<string, string>
{
{ "openid", "Sign In Permissions" },
{ "profile", "User Profile Permissions" },
{ $"api://{clientId}/access_as_user", "Application API Permissions" }
}
});
在这些更改后,我的应用程序现在按预期工作。