调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新
Posted
技术标签:
【中文标题】调用 .\\auth\\refresh 端点后 Azure 应用服务身份验证令牌未刷新【英文标题】:Azure app Service authentication token not refreshing after calling .\auth\refresh endpoint调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新 【发布时间】:2021-11-21 20:56:23 【问题描述】:我有一个托管在一个 azure Windows 应用服务中的 Angular 应用和一个托管在另一个中的 asp.net 核心 api,两者都使用应用服务身份验证功能进行保护。我正在使用目前有两台服务器的应用服务计划。我正在使用令牌存储,它正在使用文件系统来存储令牌。
当 Angular 应用调用 api 时,它需要在授权标头中传递访问令牌。通过在 \.auth\me 端点上执行 GET 并将 AppServiceAuthSession cookie 作为凭据发送来检索访问令牌。然后将返回的令牌缓存在会话存储中并用于后续请求,直到令牌过期。当令牌过期时,我调用 \.auth\refresh 端点(并发送 AppServiceAuthSession cookie),然后调用 \.auth\me 以获取刷新的令牌。
这一切在一台服务器上运行时运行良好,但当应用服务计划扩展到 2 台或更多台服务器时,对 \.auth\refresh 的调用会成功,但随后对 .auth\me 端点的调用会获得一个令牌,该令牌具有已经过期了。我可以通过检查内部 exp 声明来判断令牌已过期,并且对 api 的调用在正常情况下会成功时失败并显示 401 Unauthorized。
如果我缩减到一台服务器,问题就会消失,如果我启用 ARR 亲和性,问题就会消失,但我不想为了解决这个问题而启用亲和性。
【问题讨论】:
【参考方案1】:正常情况下,对 api 的调用也会失败并显示 401 Unauthorized。
您不应该在 API 应用上调用 /.auth/refresh
。身份验证令牌是在 WEB 应用上生成的,因此您需要在 WEB 应用上调用/.auth/refresh
。
如果您需要不记名令牌的替代品,您可以使用 AppServiceAuthSession cookie 从您的客户端请求到/.auth/refresh
。
然后将返回的令牌缓存在会话存储中并用于后续请求,直到令牌过期。当令牌过期时,我调用 .auth\refresh 端点(并发送 AppServiceAuthSession cookie),然后调用 .auth\me 以获取刷新的令牌。
为了确保正确捕获上下文,我们有一个面向用户的 Web 应用程序,该应用程序反过来调用 API 后端,该后端又调用 MSFT 图。我们希望在每个阶段都有不同的 AAD 注册:
Web 应用注册(获得API 应用 的权限) API 应用注册(获得 Microsoft Graph 的权限)因为这似乎与添加图形权限有关,我们的第一个猜测是用户尚未对 Microsoft Graph 授权。如果您只是刷新现有令牌,则没有机会获得该同意,因为不涉及用户。您必须让用户使用明确的同意提示重新登录,这可以通过/.auth/login/aad?prompt=consent
调用来实现。但是,我们不希望这会导致过期错误。缓存的过期值可能被用作该权限错误的后备,但我猜。康纳必须在那里权衡。
另外一个很好的信息是来自实际身份验证/授权层本身的日志,尤其是在出现错误消息时。要获取这些日志:
从门户中的应用程序(API 应用程序是我最感兴趣的):“平台功能”>“诊断日志”。将“应用程序日志记录(文件系统)”更改为“打开”并将级别设置为“详细”。点击保存。 返回“平台功能”>“日志流”并在重现问题时保持该窗口打开(在本例中为对 API 应用的调用)实际上,问题在于/.auth/refresh
API 不适用于 AAD 不记名令牌。相反,您需要使用会话 cookie (AppServiceAuthSession cookie) 或会话令牌 (x-zumo-auth 标头),它们是登录操作的输出。
欲了解更多信息 - 请参阅此处#refreshing-the-access-tokens
【讨论】:
以上是关于调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新的主要内容,如果未能解决你的问题,请参考以下文章
如何从 Java 应用程序调用 GraphQL 端点 [重复]
如果 Firebase 令牌在 React 应用程序中过期,如何不调用任何 api 端点?