Как пройти аутентификацию в .NET Core 2.1 API с помощью токена доступа Azure AD

Question

У меня работает приложение API .NET Core 2.1 Web MVC, использующее Azure AD для аутентификации. Прекрасно работает, я могу войти в систему с помощью учетной записи Azure AD без проблем. У меня есть другое .NET-приложение, которое я хочу, чтобы иметь возможность вызывать API этого приложения. У меня есть рабочий класс, использующий Oauth2 Client Credentials для AD, я получаю токен доступа. Я безуспешно пытался передать токен доступа через почтальон несколькими разными способами. Я попытался сделать класс, чтобы пройти его:

        public string GetProjects()
       {
           string token = GetToken();
           HttpClient client = new HttpClient();
           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", token);
           var response = client.GetAsync("https://localhost:5001/Jira/GetAllProjects").Result;
           string result = string.Empty;

           if (response.IsSuccessStatusCode)
           {

               result = response.Content.ReadAsStringAsync().Result;
           }
           return result;
       }

Однако он всегда просто перенаправляет меня на страницу входа. Вот запуск приложения API хостинга:

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.AzureAD.UI;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Authentication.OAuth.Claims;
using Microsoft.AspNetCore.Authentication.OpenIdConnect;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Authorization;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using System.Security.Claims;

namespace CIM
{
    public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.Configure<CookiePolicyOptions>(options =>
            {
                // This lambda determines whether user consent for non-essential cookies is needed for a given request.
                options.CheckConsentNeeded = context => true;
                options.MinimumSameSitePolicy = SameSiteMode.None;
            });

            services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
                .AddAzureAD(options => Configuration.Bind("AzureAd", options));


            services.Configure<OpenIdConnectOptions>(AzureADDefaults.OpenIdScheme, options =>
            {
                options.Authority = options.Authority + "/v2.0/";

                               options.TokenValidationParameters.ValidateIssuer = false;
            });



            services.AddMvc(options =>
            {
                var policy = new AuthorizationPolicyBuilder()
                    .RequireAuthenticatedUser()
                    .Build();
                options.Filters.Add(new AuthorizeFilter(policy));
            })
            .SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseExceptionHandler("/Home/Error");
                app.UseHsts();
            }

            app.UseHttpsRedirection();
            app.UseStaticFiles();
            app.UseCookiePolicy();

            app.UseAuthentication();

            app.UseMvc(routes =>
            {
                routes.MapRoute(
                    name: "default",
                    template: "{controller=Home}/{action=Index}/{id?}");
            });
        }
    }
}

Чего мне не хватает, чтобы я мог войти в .NET API с помощью токена доступа?

Answer 1

Вы можете использовать AddJwtBearer для проверки токена доступа в вашем веб-интерфейсе:

 services
.AddAuthentication(o =>
{
    o.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(o =>
{
    o.Authority = Configuration["Authentication:Authority"];
    o.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
    {
        // Both App ID URI and client id are valid audiences in the access token
        ValidAudiences = new List<string>
        {
            Configuration["Authentication:AppIdUri"],
            Configuration["Authentication:ClientId"]
        }
    };
});

И не забудьте добавить:

app.UseAuthentication();

Другой способ - использовать шаблон веб-API Azure AD: Новое приложение ASP.NET Core -> Выбрать шаблон API -> Изменить аутентификацию -> Рабочая или учебная учетная запись -> выберите своего арендатора, и шаблон поможет Конфигурировать ваше приложение.

Answer 2

Как сказал Джуннас, вам нужно настроить API для использования аутентификации токенов на предъявителя.

Вы можете добавить эту конфигурацию для промежуточного программного обеспечения, необходимого для validate the tokens:

app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
    Authority = "resource_uri",
    RequireHttpsMetadata = false,
    ApiName = "xxxxxx"
});

ДляПример кода, к которому можно обратиться: ASP.NET Core WebAPI, защищенный с помощью учетных данных клиента OAuth2 .