我正在尝试使用 Azure AD 和 MSAL 对使用 Azure 静态 Web 应用程序创建和公开的 Azure 函数进行身份验证和授权。如果我将应用程序配置为使用较旧的 AAD v1 流而不是 MSAL,则用户可以成功访问 API。设置/用例:
- 使用基本 HTML 和 JS 作为 Azure 静态 Web 应用程序部署和托管的单页应用程序 (SPA)(这是一个演示“Hello World”应用程序)
- 该应用程序使用 MSAL 集成了身份验证。特别是 msal-browser.js版本 2.6.1。使用以下方式检索身份令牌:
msal.PublicClientApplication(msalConfig).loginPopup(loginRequest)
其中 msalConfig 包含:
```
auth: {
clientId: "<CLIENTID>",
authority: "https://login.microsoftonline.com/<TENANT_ID>"
}
```
用户通过身份验证并返回身份令牌。
静态 Web 应用程序公开了一个示例函数GetMessage,它返回一些虚拟文本
如果到函数的路由不受保护,SPA 可以成功调用函数并将文本返回到浏览器/SPA
如果到函数的路由通过routes.json保护,则对函数的请求(正确)返回 401,除非用户经过身份验证和授权。
{ "routes": [ { "route": "/api/*", "allowedRoles": ["Authenticated"] } ] }
为了通过 MSAL 对用户进行身份验证,我尝试检索放入函数调用的 Bearer 标头的访问令牌:
```
async function getAPI() {
const currentAcc = myMSALObj.getAccountByHomeId(accountId);
if (currentAcc) {
const response = await getTokenPopup(silentRequest, currentAcc).catch(error => {
console.log(error);
});
console.log("Got token " + response.accessToken)
const accToke = response.accessToken
const headers = new Headers();
const bearer = `Bearer ${accToke}`;
headers.append("Authorization", bearer);
const options = {
method: "GET",
headers: headers
};
let { text } = await( await fetch('/api/GetMessage',options)).json();
document.querySelector('#name').textContent = text;
}
}
```
在 jwt.ms 中检索并验证令牌,但该函数始终返回 403 - 禁止。如果更改范围或用户角色似乎没有什么区别,尽管我可能缺少一个神奇的组合。
如果我调用的函数是 Micrsoft Graph(即https://graph.microsoft.com/v1.0/me ),则此过程完美运行——它仅在我们自己的静态 Web 应用程序功能上失败。我看不到访问 Azure 服务器端日志的方法,以了解它可能失败的原因。
使用 AAD v1 流程,即调用 http://APP_URL/.auth/login/aad 可以完美运行 - 但它不使用访问令牌。它使用一个名为 StaticWebAppsAuthCookie 的 Cookie(对 APP_URL/.auth/login/aad 的一次调用就足以对用户进行身份验证和授权)。可以在这里找到一个例子
我知道 MSAL 是 Azure AD 正在走向的流程,那么有没有办法通过 MSAL 流程授权用户?专门使用 Azure AD、静态 Web 应用和在静态 Web 应用中公开的函数(不是作为独立的 Azure Function 应用)。