一,引言

  上一节讲到Azure AD的一些基础概念,以及Azure AD究竟可以用来做什么?本节就接着讲如何在我们的项目中集成Azure AD 保护我们的API资源(其实这里还可以在 SPA单页面应用,Web项目,移动/桌面应用程序集成Azure AD),好了,废话不多说,开始今天的内容。

二,正文

上一篇介绍到 Azure AD 其实是微软基于云的表示和授权访问管理服务,它可以帮助我们在Azure中登录和访问资源。我们可以通过Azure的标识平台生成应用程序,采用微软标识登录,以及获取令牌来调用受保护的API资源。也就是说这一切功能也是基于包含Oauth 2.0和Open ID Connect的身份验证服务。

下面先去了解,熟悉一下关于Identity Server 4的 OpenID 和 OAuth 的区别以及授权模式

如果之前有了解 Identity Server 4 这种授权验证的框架,可以跳过下面的介绍:

identityServer4 知多少(圣杰):https://www.cnblogs.com/sheng-jie/p/9430920.html

授权服务器identityServer4 开篇(老张的哲学):https://www.cnblogs.com/laozhang-is-phi/p/10483922.html

(一) OpenID 和 OAuth 的区别 (以下的介绍来自google和 OAuth官网)

  1,OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,简单通俗的理解,OpenID是用来做为身份验证的

  2,OAuth 2.0是用于授权的行业标准协议。OAuth 2.0致力于简化客户端开发人员的工作,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。也就是说 OAuth 2.0 是用来进行授权的

  3,OpenID Connect 是基于OAuth 协议的简单身份层。它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份,并以可互操作且类似于REST的方式获取有关最终​​用户的基本配置文件信息。OpenID Connect允许所有类型的客户端(包括基于Web的客户端,移动客户端和JavaScript客户端)请求并接收有关经过身份验证的会话和最终用户的信息。规范套件是可扩展的,允许参与者在对他们有意义的时候使用可选功能,例如身份数据加密,OpenID提供程序的发现以及会话管理。

  OpenID Connect执行许多与OpenID 2.0相同的任务,但是这样做的方式是API友好的,并且可由本机和移动应用程序使用,OpenID Connect定义了用于可靠签名和加密的可选机制。OAuth 1.0和OpenID 2.0的集成需要扩展,而在OpenID Connect中,OAuth 2.0功能与协议本身集成在一起。

(二)授权模式

  1,隐式模式(Implicit Flow)

  2,客户端授权模式(Client Credentials Flow)

  3,授权码授权模式(Authorization Code Flow)

  4,资源持有者密码模式(Resource Owner Password Credentials ):注意一下,这里的密码翻译的不正确,应该不单单指密码,使用证书也是可以的

  。。。。。等

这里暂时只了解这四种常见的授权模式。

(三)添加受保护资源

1,VS 创建 “Asp.Net Core WebApi” 项目,并且添加 “OrderController” 控制器,并且新增相应的方法,此步骤暂时省略,详细代码我整理完成后,会添加到github上(文章底部的github链接)

2,安装:Microsoft.AspNetCore.Authentication.AzureAD.UI

3,需要注册验证服务,这个地方默认的是 “AzureADJwtBearer”,AddAzureADBearer方法绑定Azure AD身份验证终结点,租户,租户所在的自定义域,以及客户端Id

services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options));

开启Authentication中间件

 // open authentication middleware
app.UseAuthentication();

4,在Azure Portal 上添加一个租户

  4.1 在Azure Portal 上选择 菜单 “Azure Active Directory”

  4.2,点击图中的 “创建目录”

  4.3,目录选择默认 “Azure Active Directory”,点击 “下一步-配置”

  4.4,添加对应的组织名称和初始域名,

    组织名:myCommpany

    初始域名:trainingdiscussion 

  点击 “产看+创建” 进行验证,验证完成后点击 “创建”

5,注册 “应用程序”

  5.1,Azure Portal 点击个人头像,切换目录

  5.2,选中刚刚创建的 “MyCompany” 的目录,继续在Portal首页左侧选择 “Azure Active Directory”,选中 “应用注册” ,点击 “新注册”    

  5.3,填写应用注册的一些基本信息

    (1)添加受保护的Api资源的名称,也就是我们在VS中创建的.Net Core 的 WebApi 项目,我这里暂时命名为 “WebApi”,

    (2)选择支持的账户类型,我这里选择的是一个多租户的类型

    (3)平台配置,选择 Web API,这里的平台配置怎么理解:就好在Web项目中是在成功验证用户身份后,会携带令牌,我们作为目标接受的URL,称其为 ”回调地址“

  5.4, 点击 ”注册“,然后选择 ”管理“---》”身份验证“,点击”切换到旧体验“

  5.5,找到隐式授权模式,勾选 ”访问令牌“,”ID令牌“两个复选框

  OK,以上我们在Azure Portal 就配置好一个客户端的注册,

  5.6,在此,我们真正在代码中开启验证的话,还需要4个参数,也就是上面提到的 ”自定义域(Domain)“,”租户Id(TenantId)“,”客户端Id(ClientId)“,”应用注册终结点(Instance)“

  (1)Domain,TenantId (Domain 参数可以在创建目录时,先行复制好)

    

  (2)ClientId:选择刚刚注册好的应用程序,进入应用程序页面后,找到对象Id 进行复制操作。

  

  (3)Instance:每个国家都有一个单独的Azure门户。若要在应用程序中与Azure AD进行集成,需要在每个特定环境的Azure门户中单独注册应用程序。

    所有用于验证应用程序的Azure AD终结点的URL也是不同的

    适用于美国政府的 Azure AD  :https://login.microsoftonline.us

    Azure AD 德国                        :https://login.microsoftonline.de

    由世纪互联运营的 Azure AD 中国:https://login.chinacloudapi.cn

    Azure AD(全球服务)          :https://login.microsoftonline.com

  例如,对于 Azure 中国:

  • 授权常用终结点为:https://login.chinacloudapi.cn/common/oauth2/authorize
  • 令牌常用终结点为 :https://login.chinacloudapi.cn/common/oauth2/token

  对于单租户应用程序,请将先前 URL 中的“common”替换为你的租户 ID 或名称。 示例为 https://login.chinacloudapi.cn/myCommany。

6,配置文件中的内容如下所示

"AzureAd": {
"Instance": "https://login.chinacloudapi.cn/",
"Domain": "trainingdiscussion.partner.onmschina.cn",
"TenantId": "53359126-8bcf-455d-a934-5fe72d349207",
"ClientId": "f38ec09d-203e-4b2d-a1c1-faf76a608528"
},

给需要验证的方法或者控制器加上验证标签[Authorize]

详情请看完整代码

完整代码:

public class Startup
{
public Startup(IConfiguration configuration, IWebHostEnvironment environment)
{
Configuration = configuration;
Environment = environment;
} public IConfiguration Configuration { get; } public IWebHostEnvironment Environment { get; } // This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddSingleton(new Appsettings(Environment.ContentRootPath)); services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options)); services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new OpenApiInfo { Title = "My API", Version = "v1" });
c.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
{
Description = "JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}(注意两者之间是一个空格)\"",
Type = SecuritySchemeType.OAuth2,
In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
Flows = new OpenApiOAuthFlows()
{
Implicit = new OpenApiOAuthFlow
{
Scopes = new Dictionary<string, string>
{
{ "user_impersonation", "Access API" }
},
AuthorizationUrl = new Uri($"https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { "AzureAD", "TenantId" })}/oauth2/authorize") }
}
});
// 在header中添加token,传递到后台
c.OperationFilter<SecurityRequirementsOperationFilter>();
}); services.AddControllers();
} // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
} #region Swagger
app.UseSwagger();
app.UseSwaggerUI(c =>
{
//根据版本名称倒序 遍历展示
var ApiName = Appsettings.app(new string[] { "Startup", "ApiName" });
c.SwaggerEndpoint($"/swagger/v1/swagger.json", $"{ApiName} v1"); c.OAuthClientId(Appsettings.app(new string[] { "Swagger", "ClientId" }));
c.OAuthClientSecret(Appsettings.app(new string[] { "Swagger", "ClientSecret" }));
c.OAuthRealm(Appsettings.app(new string[] { "AzureAD", "ClientId" }));
c.OAuthAppName("My API V1");
c.OAuthScopeSeparator(" ");
c.OAuthAdditionalQueryStringParams(new Dictionary<string, string>() { { "resource", Appsettings.app(new string[] { "AzureAD", "ClientId" }) } });
});
#endregion // open authentication middleware
app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
}

startup.cs

{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"AzureAd": {
"Instance": "https://login.chinacloudapi.cn/",
"Domain": "trainingdiscussion.partner.onmschina.cn",
"TenantId": "53359126-8bcf-455d-a934-5fe72d349207",
"ClientId": "f38ec09d-203e-4b2d-a1c1-faf76a608528"
},
"Swagger": {
"ClientId": "e15070c3-7e9a-40c0-b73f-2f34fb031641",
"ClientSecret": "" // ?fxV/=/pwlRjwQgoIdLRlPNlWBBQ8939
}
}

application.json

    [Route("api/[controller]")]
[ApiController] public class OrderController : ControllerBase
{
// GET: api/Order
[HttpGet]
[Authorize]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
} // GET: api/Order/5
[HttpGet("{id}", Name = "Get")]
public string Get(int id)
{
return "value";
} // POST: api/Order
[HttpPost]
public void Post([FromBody] string value)
{
} // PUT: api/Order/5
[HttpPut("{id}")]
public void Put(int id, [FromBody] string value)
{
} // DELETE: api/ApiWithActions/5
[HttpDelete("{id}")]
public void Delete(int id)
{
}
}

OrderController.cs

7,项目添加Swagger的配置,使用Swagger进行接口测试-

  7.1:安装  Swashbuckle.AspNetCore,Swashbuckle.AspNetCore.Filters

  7.1:配置 Swagger 服务,并且使用隐式授权模式

services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new OpenApiInfo { Title = "My API", Version = "v1" });
c.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
{
Description = "JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}(注意两者之间是一个空格)\"",
Type = SecuritySchemeType.OAuth2,
In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
Flows = new OpenApiOAuthFlows()
{
Implicit = new OpenApiOAuthFlow
{
AuthorizationUrl = new Uri($"https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { "AzureAD", "TenantId" })}/oauth2/authorize") }
}
});
// 在header中添加token,传递到后台
c.OperationFilter<SecurityRequirementsOperationFilter>();
});

  7.3,开启中间件

 app.UseSwagger();
app.UseSwaggerUI(c =>
{
//根据版本名称倒序 遍历展示
var ApiName = Appsettings.app(new string[] { "Startup", "ApiName" });
c.SwaggerEndpoint($"/swagger/v1/swagger.json", $"{ApiName} v1"); c.OAuthClientId(Appsettings.app(new string[] { "Swagger", "ClientId" }));
c.OAuthClientSecret(Appsettings.app(new string[] { "Swagger", "ClientSecret" }));
c.OAuthRealm(Appsettings.app(new string[] { "AzureAD", "ClientId" }));
c.OAuthAppName("My API V1");
c.OAuthScopeSeparator(" ");
c.OAuthAdditionalQueryStringParams(new Dictionary<string, string>() { { "resource", Appsettings.app(new string[] { "AzureAD", "ClientId" }) } });
});

详细代码,请看上面的的完整代码☝☝☝☝☝

  7.4,注册应用程序(Swagger)

  (1)现在,我们将为Swagger添加一个 "Azure AD" 应用程序,并授予它向 "Web API" 应用程序发出请求的权限

     注意重定向URL的地址,这里需要配置 swagger 的回调地址,localhost:9021 是项目运行的地址

    勾选启用隐式授权模式的 ”访问令牌“,”ID令牌“

  (2)转到 WebApi 应用添加任意scope(scope名随便定义),那此应用的API将会被公开(暴露),我们这里添加了一个scope(读)

   

  (3)将应用程序ID复制到appsettings中的Swagger:ClientId

  (4)转到 “Swagger” 的应用注册点击”添加权限“---》“委托的权限” 来添加下面绿框架中的两个权限,管理员同意后,前端应用就拥有调用后端API的权限了。 

8,测试效果

  启动项目,在项目的 “Swagger” 首页,点击  Try it out 尝试调用 api/order 接口,Response 提示 401 无访问权限

此时,我们可以在Swagger首页点击 ”Authorize“ ,验证和访问Api资源

登陆Azure账户,进行认证授权

再次调用 api/Order 接口  Response:200 OK

Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API 上的更多相关文章

  1. Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API 下

    一,引言 上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源,以及在项目中集成Swagger,并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的?本 ...

  2. List多个字段标识过滤 IIS发布.net core mvc web站点 ASP.NET Core 实战:构建带有版本控制的 API 接口 ASP.NET Core 实战:使用 ASP.NET Core Web API 和 Vue.js 搭建前后端分离项目 Using AutoFac

    List多个字段标识过滤 class Program{  public static void Main(string[] args) { List<T> list = new List& ...

  3. ASP.NET Core Web API下事件驱动型架构的实现(二):事件处理器中对象生命周期的管理

    在上文中,我介绍了事件驱动型架构的一种简单的实现,并演示了一个完整的事件派发.订阅和处理的流程.这种实现太简单了,百十行代码就展示了一个基本工作原理.然而,要将这样的解决方案运用到实际生产环境,还有很 ...

  4. ASP.NET Core Web API + Angular 仿B站(二)后台模型创建以及数据库的初始化

    前言: 本系列文章主要为对所学 Angular 框架的一次微小的实践,对 b站页面作简单的模仿. 本系列文章主要参考资料: 微软文档: https://docs.microsoft.com/zh-cn ...

  5. .Net Core Web Api 上传女朋友的照片到微软云Azure Storage

    前言 实现一个Web Api,把女朋友照片保存到Azure云的storage里. Image Upload Api 在对应的Api Controller里,加上attribute: [Consumes ...

  6. 在ASP dot Net Core MVC中用Controllers调用你的Asp dotnet Core Web API 实现CRUD到远程数据库中,构建你的分布式应用(附Git地址)

    本文所有的东西都是在dot Net Core 1.1环境+VS2017保证测试通过. 本文接着上次文章接着写的,不了解上篇文章的可能看着有点吃力.我尽量让大家都能看懂.这是上篇文章的连接http:// ...

  7. ASP.NET Core Web Api之JWT VS Session VS Cookie(二)

    前言 本文我们来探讨下JWT VS Session的问题,这个问题本没有过多的去思考,看到评论讨论太激烈,就花了一点时间去研究和总结,顺便说一句,这就是写博客的好处,一篇博客写出有的可能是经验积累,有 ...

  8. 微软Azure配置中心 App Configuration (一):轻松集成到Asp.Net Core

    写在前面 在日常开发中,我这边比较熟悉的配置中心有,携程Apollo,阿里Nacos(配置中心,服务治理一体) 之前文章: Asp.Net Core与携程阿波罗(Apollo)的第一次亲密接触 总体来 ...

  9. 【翻译】使用Visual Studio在Azure上部署Asp.Net Core Web应用

    配置运行环境 Install the latest Azure SDK for Visual Studio. The SDK installs Visual Studio if you don't a ...

随机推荐

  1. 学会这项python技能,就再也不怕孩子偷偷打游戏了

    前言 本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 作者:鸟哥 PS:如果想了解更多关于python的应用,可以私信小编,资料 ...

  2. 详解 I/O流

    I/O流是用于处理设备之前信息传输的流,在我们今后的学习甚至是工作中,都是十分重要的. 在我们的日常生活中,也是很常见的,譬如:文件内容的合并.设备之键的文件传输,甚至是下载软件时的断点续传,都可以用 ...

  3. API加密框架monkey-api-encrypt发布1.2版本

    框架介绍 monkey-api-encrypt 是我之前写的一个API加密的框架,主要是将加密/解密的逻辑交给框架实现,等数据到达Controller后自动解密了,让开发人员不需要关注数据的加解密操作 ...

  4. BMP图片解析

    本博客参考:https://www.cnblogs.com/l2rf/p/5643352.html 一.简介 BMP(Bitmap-File)图形文件是Windows采用的图形文件格式,在Window ...

  5. 二、Go语言开发环境安装与编写第一个Hello World

    本系列文章均为学习过程中记录的笔记,欢迎和我一起来学习Go语言. 全文使用环境如下: Go语言版本:1.13 操作系统:deepin 使用工具:Goland开发工具 Go语言追溯历史 Go语言2009 ...

  6. Python自学从入门到就业之函数基础(小白必看)

    函数介绍 <1>什么是函数 请看如下代码: print(" _ooOoo_ ") print(" o8888888o ") print(" ...

  7. 0day笔记(1)PE文件格式与虚拟文件内存的映射

    PE文件格式 PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被存放在不同的节中. 一个典型的 PE 文件中包含的节如下: .text 存放着二进制的机器代码 .data 初始 ...

  8. hdu_2391 Filthy Rich DP

    Filthy Rich Time Limit: 10000/5000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Tota ...

  9. flutter在2019年会有怎样的表现?

    2019独角兽企业重金招聘Python工程师标准>>> Flutter的趋势 在移动端,受成本和效率的驱使,跨平台一站式开发慢慢成为一个趋势.从Hybird,RN,WEEX,Flut ...

  10. JS面向对象编程之对象

    在AJAX兴起以前,很多人写JS可以说都是毫无章法可言的,基本上是想到什么就写什么,就是一个接一个的函数function,遇到重复的还得copy,如果一不小心函数重名了,还真不知道从何开始查找错误,因 ...