0

我刚刚尝试完成此操作:https ://github.com/Azure-Samples/active-directory-dotnet-native-aspnetcore-v2/tree/master/1.%20Desktop%20app%20calls%20Web%20API

我没有使用 WPF 应用程序,而是使用 Blazor WASM 客户端。

我将令牌添加到我的 .net 核心 API 的传出请求中,但我总是得到 401。

Blazor 验证良好并取回令牌,似乎工作正常,但是:

  • 观众的 GUID 错误
  • 缺少“scp”(范围),因此令牌无法使用

如果我从上述链接运行示例并解码令牌,我可以在令牌中看到正确的 AUD 和 SCP。所以这可能与我在 Blazor 中的配置有关?

在 Blazor 中配置

// AD authentication
builder.Services.AddMsalAuthentication(options =>
{
    builder.Configuration.Bind("AzureAd", options.ProviderOptions.Authentication);
    options.ProviderOptions.DefaultAccessTokenScopes.Add("api://xxx-xxxx-xxxx-xxxx/access_as_user");
});

builder.Services
       .AddHttpClient<IApiClient, ApiClient>(client => client.BaseAddress = _baseUri)
       .AddHttpMessageHandler<BaseAddressAuthorizationMessageHandler>();

回复

Bearer error="invalid_token", error_description="The audience '63ee4227-xxxx-xxxx-xxxx' is invalid"

受众 GUID 是我的 Blazor 应用注册的客户端 ID

Startup.cs 中的代码

...
services.AddProtectedWebApi(Configuration)
        .AddInMemoryTokenCaches();
...

...
app.UseAuthentication(); 
app.UseAuthorization();
...

知道可能出了什么问题吗?

4

1 回答 1

0

当我学习使用 Blazor WebAssembly 时,我遵循了这个教程,它做了一些非常相似的事情,并且它可能更容易实现,因为你不必尝试从 WPF 转换任何代码。

但是,要尝试的一件事是改变这一点:

options.ProviderOptions.DefaultAccessTokenScopes.Add("api://xxx-xxxx-xxxx-xxxx/access_as_user");

对此:

options.ProviderOptions.DefaultAccessTokenScopes.Add("xxx-xxxx-xxxx-xxxx/access_as_user");

在我的应用程序中,我调用了两个 API 端点,一个托管在与 Blazor 应用程序相同的域中,另一个位于单独的域中。为外部域请求令牌时,必须使用api://前缀。但是,对于同一个域,它必须被排除。

于 2020-06-13T19:32:43.247 回答