我将 Azure FrontDoor 设置为在端口 5443 上运行的容器和自定义域之间的反向代理/负载均衡器。这样做的目的是为用户提供标准地址。即 container.azurecontainer.io:3443 被https://oursite3.example.com指向。
同一个 aci 正在运行多个容器:
container.azurecontainer.io:443
container.azurecontainer.io:2443
container.azurecontainer.io:3443
https://oursite1.example.com
https://oursite2.example.com
https://oursite3.example.com
然后,我们在不同区域全球部署了多个 aci(因此使用 Frontdoor 在不同实例之间进行负载平衡)。
在此示例中,container.azurecontainer.io:3443 上安装了 MS AD 身份验证。单击链接时,用户会重定向到登录并生成链接并将浏览器重定向到该链接。该链接中有redirect_uri。类似于:https ://login.microsoftonline.com/00000000-0000-0000-0000-000000000001/oauth2/authorize?client_id=00000000-0000-0000-0000-000000000002&redirect_uri=https%3A%2F%2Foursite3.example.com %3A3443%2Fsignin-oidc&response_type=id_token&scope=openid%20profile&response_mode=form_post&nonce=jkalksdfj alskdjflkjalksdfjalkjA&x-client-SKU=ID_NETSTANDARD2_0&x-client-ver=5.5.0.0
但是,在登录时,用户会在网站上获得以下信息:
AADSTS50011:请求中指定的回复 URL 与为应用程序配置的回复 URL 不匹配:'00000000-0000-0000-0000-000000000003'
原因是 AD 应用的回复 url 设置为:
https://oursite3.example.com/signin-oidc
但是,仔细检查后,用户被重定向到用于登录的 url 将其作为redirect_uri 包含在内:
https://oursite3.example.com:5443/signin-oidc
即端口 5443 已添加到主机名的末尾。
本质上,它包括了 redirect_uri 中的底层原始端口,我不希望它这样做。
我已经尝试在我们的站点中使用 ForwardedOptions。例如,我们的 startup.cs 文件中包含以下内容(ConfigureServices):
services.Configure<ForwardedHeadersOptions>(options =>
{
options.ForwardedHeaders = ForwardedHeaders.XForwardedFor |
ForwardedHeaders.XForwardedProto;
// Only loopback proxies are allowed by default.
// Clear that restriction because forwarders are enabled by explicit
// configuration.
options.KnownNetworks.Clear();
options.KnownProxies.Clear();
});
其次是(配置):
app.UseForwardedHeaders();
这不能解决问题。
我已经查看了是否可以通过查看此处来覆盖设置为 redirect_uri 的值:https ://github.com/dotnet/aspnetcore/blob/b7e122fbac4207b003dc07f6101e50218be8ff21/src/Security/Authentication/Core/src/AuthenticationHandler 。CS
和这个:
有谁知道还有什么问题?
谢谢