调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新

Posted 2023-03-24

【中文标题】调用 .\\auth\\refresh 端点后 Azure 应用服务身份验证令牌未刷新

【英文标题】：Azure app Service authentication token not refreshing after calling .\auth\refresh endpoint调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新

【发布时间】：2021-11-21 20:56:23

【问题描述】：

我有一个托管在一个 azure Windows 应用服务中的 Angular 应用和一个托管在另一个中的 asp.net 核心 api，两者都使用应用服务身份验证功能进行保护。我正在使用目前有两台服务器的应用服务计划。我正在使用令牌存储，它正在使用文件系统来存储令牌。

当 Angular 应用调用 api 时，它需要在授权标头中传递访问令牌。通过在 \.auth\me 端点上执行 GET 并将 AppServiceAuthSession cookie 作为凭据发送来检索访问令牌。然后将返回的令牌缓存在会话存储中并用于后续请求，直到令牌过期。当令牌过期时，我调用 \.auth\refresh 端点（并发送 AppServiceAuthSession cookie），然后调用 \.auth\me 以获取刷新的令牌。

这一切在一台服务器上运行时运行良好，但当应用服务计划扩展到 2 台或更多台服务器时，对 \.auth\refresh 的调用会成功，但随后对 .auth\me 端点的调用会获得一个令牌，该令牌具有已经过期了。我可以通过检查内部 exp 声明来判断令牌已过期，并且对 api 的调用在正常情况下会成功时失败并显示 401 Unauthorized。

如果我缩减到一台服务器，问题就会消失，如果我启用 ARR 亲和性，问题就会消失，但我不想为了解决这个问题而启用亲和性。

【参考方案1】：

正常情况下，对 api 的调用也会失败并显示 401 Unauthorized。

您不应该在 API 应用上调用 /.auth/refresh。身份验证令牌是在 WEB 应用上生成的，因此您需要在 WEB 应用上调用/.auth/refresh。

如果您需要不记名令牌的替代品，您可以使用 AppServiceAuthSession cookie 从您的客户端请求到/.auth/refresh。

然后将返回的令牌缓存在会话存储中并用于后续请求，直到令牌过期。当令牌过期时，我调用 .auth\refresh 端点（并发送 AppServiceAuthSession cookie），然后调用 .auth\me 以获取刷新的令牌。

为了确保正确捕获上下文，我们有一个面向用户的 Web 应用程序，该应用程序反过来调用 API 后端，该后端又调用 MSFT 图。我们希望在每个阶段都有不同的 AAD 注册：

Web 应用注册（获得

API 应用

的权限） API 应用注册（获得

Microsoft Graph

的权限）

因为这似乎与添加图形权限有关，我们的第一个猜测是用户尚未对 Microsoft Graph 授权。如果您只是刷新现有令牌，则没有机会获得该同意，因为不涉及用户。您必须让用户使用明确的同意提示重新登录，这可以通过/.auth/login/aad?prompt=consent 调用来实现。但是，我们不希望这会导致过期错误。缓存的过期值可能被用作该权限错误的后备，但我猜。康纳必须在那里权衡。

另外一个很好的信息是来自实际身份验证/授权层本身的日志，尤其是在出现错误消息时。要获取这些日志：

从门户中的应用程序（API 应用程序是我最感兴趣的）：“平台功能”>“诊断日志”。将“应用程序日志记录（文件系统）”更改为“打开”并将级别设置为“详细”。点击保存。 返回“平台功能”>“日志流”并在重现问题时保持该窗口打开（在本例中为对 API 应用的调用）

实际上，问题在于/.auth/refresh API 不适用于 AAD 不记名令牌。相反，您需要使用会话 cookie (AppServiceAuthSession cookie) 或会话令牌 (x-zumo-auth 标头)，它们是登录操作的输出。 欲了解更多信息 - 请参阅此处#refreshing-the-access-tokens