使用 MSAL Angular 包装器在 Ionic 4 中处理来自 Azure AD 的回调

Posted

技术标签:

【中文标题】使用 MSAL Angular 包装器在 Ionic 4 中处理来自 Azure AD 的回调【英文标题】:Handling callback from Azure AD in Ionic 4 with MSAL Angular wrapper 【发布时间】:2019-12-26 10:23:48 【问题描述】:

我们正在使用 Angular 7 构建一个 Ionic 4 应用,并且我们希望针对 Azure AD v2 端点进行身份验证。我们正在使用 msal-angular 包装器为 msal.js 库。 我们成功地访问了端点,并且身份验证提供程序在我们的回调中使用令牌进行响应。

我们的问题从这里开始。 msal 库不会在移动应用上下文中自动处理此令牌,因此我们必须尝试手动处理。当我们在浏览器中调试应用程序时,msal 库会自动保存令牌并正确登录。

为了重定向到我们的移动应用程序中的页面,我们使用 Applinks/Deeplinkscordova 插件来提供一个回调 URI,该 URI 被身份验证提供程序接受为有效 URI,并使我们能够重定向到应用程序(以及应用程序中的正确页面)。但是,使用 Deeplinks,我们会触发回调,但 MSAL 库无法识别回调,因此无法继续其登录过程以保存令牌并将其状态设置为已登录(我们正在利用此库在我们的应用程序中也保护路由)。

无需在浏览器中进行深度链接调试即可按预期工作。当回调被击中时,我们如何让 MSAL 库继续它的登录过程?

MSAL 配置:

MsalModule.forRoot(
   clientID: '******',
   authority: "https://login.microsoftonline.com/********", // (Optional) It is the authority URL as described in the configuration section above to support account types. The default authority is https://login.microsoftonline.com/common.
   validateAuthority: true,
   redirectUri: "https://example.com/callback",
   cacheLocation : "localStorage",
   postLogoutRedirectUri: "https://example.com/home",
   navigateToLoginRequestUrl: false,
   popUp: false,
   consentScopes: [ "user.read", "api://*************/user_read"],
   unprotectedResources: ["https://www.microsoft.com/en-us/"],
   correlationId: '1234',
   piiLoggingEnabled: true
)

深层链接:

this.platform.ready().then(() => 
   this.deeplinks.route(
      '/home': HomePage,
      '/callback': CallbackPage
    ).subscribe((match) => 
       const idToken = match.$link.fragment;
       this.router.navigate(['/callback', key: idToken])

    ,
    (nomatch) => 
       console.error('Got a deeplink that didn\'t match', nomatch);
    );
 );

【问题讨论】:

确实和你一样,但不知道如何继续,如果有人知道如何解决这个问题,请告诉我 看看这个:forum.ionicframework.com/t/ionic-msal-integration/183252/4看看这是否有帮助 【参考方案1】:

我遇到了同样的问题,并且似乎不再支持 cordova msal 插件,因此作为您所做的替代方法,请按照以下步骤操作 (不是针对这篇文章中提到的问题的修复)

我最终实现了这个插件: Capacitor OAuth 2 客户端插件 混帐:https://github.com/moberwasserlechner/capacitor-oauth2

要安装它,请执行以下操作:

npm i -E @byteowls/capacitor-oauth2

请注意最低电容版本为2.0.0

插件配置可能会改变,我建议您在执行这些步骤之前先阅读它们的初始设置,但对于 azure 配置,您应该执行以下操作:

oauth2config

(...) // other configs
android: 
      pkceEnabled: true,
      responseType: 'code',
      redirectUrl: 'com.company.testapp://oauth/redirect',
      accessTokenEndpoint: 'https://TENANT.b2clogin.com/TENANT.onmicrosoft.com/B2C_1_policy-signin-signup-web',
      handleResultOnNewIntent: true,
      handleResultOnActivityResult: true
    ,
(...) // other configs

strings.xml:

<string name="custom_url_scheme">com.company.testapp://oauth/redirect</string>

AndroidManifest:

<data android:scheme="com.company.testapp" android:host="auth" />

build.gradle:

defaultConfig 
        // other stuff
        manifestPlaceholders = [
            "appAuthRedirectScheme": "com.company.testapp"
        ]

在 Azure 门户上:

Include web app / web API: YES
Allow implicit flow: YES
Include native client: YES
Custom Redirect URI: com.company.testapp://oauth/redirect

创建了一个包含此实现的 azure b2c 示例的存储库(您只需更改 com.c.... 和配置以匹配您的配置): https://github.com/loonix/capacitor-oauth2-azure-example

如果您在实施此操作时遇到任何问题,请参阅以下问题: https://github.com/moberwasserlechner/capacitor-oauth2/issues/96 https://github.com/moberwasserlechner/capacitor-oauth2/issues/91

【讨论】:

以上是关于使用 MSAL Angular 包装器在 Ionic 4 中处理来自 Azure AD 的回调的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 @azure/msal-angular 获取用户的 AAD 成员资格

不记名令牌未添加到 HTTP 请求 - MSAL2 Angular

您如何使用 MSAL-ANGULAR 阅读角色/权限

使用 Angular 8 中的 MSAL 库获取 Microsoft Azure AD 组名称列表

使用 MSAL 保护 ASP.Net Core Web API 和 Angular App

在 Angular 中使用 MSAL 和在 WebAPI 中使用 JWT Auth 时 API 请求触发 CORS 错误