.Net Core 2.0 - Azure Active Directory - NGinX 反向代理 - HTTPS

Question

我有一个 .NET Core 2.0 网站，在 Linux 上运行，监听端口 5000，在 NGinX 反向代理后面，监听端口 80 和 442。NGinX 配置为将 HTTP 流量重定向到 HTTPS，并处理所有通信通过 HTTPS。 NGinx 反向代理和 Asp.Net Core 应用程序位于它们自己的 docker 容器中，位于共享网络上。

此设置当前正在按说明工作。

但是，我现在想针对我们的 Azure Active Directory 对我的用户进行身份验证。我遇到了一个问题，不知道从哪里开始。

首先，让我向您展示我是如何配置大部分内容的，然后我将解释我的错误。

NGinx (nginx.conf)

worker_processes 2;

events { worker_connections 1024; }

http {
    sendfile on;

    upstream docker-dotnet {
        server mycomp_prod:5000;
    }

    server {
            listen 80;
            server_name sales.mycompany.com;
            return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl;
        server_name sales.mycompany.com;
        ssl_certificate     /etc/nginx/ssl/combined.crt;
        ssl_certificate_key /etc/nginx/ssl/salesmycompany.key;

        location / {
            proxy_pass         http://docker-dotnet;
            proxy_redirect     off;
            proxy_set_header   Host $host;
            proxy_set_header   X-Real-IP $remote_addr;
            proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header   X-Forwarded-Host $server_name;
        }
    }

}

Dotnet:Startup.cs ConfigureServices()

services.AddAuthentication(sharedOptions =>
{
     sharedOptions.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
     sharedOptions.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddAzureAd(options => Configuration.Bind("AzureAd", options))
.AddCookie();

Dotnet:Startup.cs Configure()

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});
app.UseAuthentication();

Dotnet：appsettings.json

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "Domain": "mycompany.com",
    "TenantId": "my-tenant-id",
    "ClientId": "my-client-id",
    "CallbackPath": "/signin-oidc"
  },

在我的 Azure Active Directory 租户中

我已经配置了 2 个“回复 URL”

• https://sales.mycompany.com/signin-oidc
• https://sales.mycompany.com

现在是错误/我的问题

当我访问该站点时，我会登录。然后登录并选择是否“保持登录状态”，我被带到一个错误的页面。

您可以在错误中看到，尝试重定向到的回复地址是 HTTP，而不是 HTTPS。我认为这是来自 appsettings.json 中的一行：

"CallbackPath": "/signin-oidc"

由于我的 .NET Core 站点（通过端口 5000 上的 Kestrel）不在 HTTPS 上，因此它正在尝试加载 http://example.com/signin-oidc，而不是 HTTPS。请记住，我的 .NET Core 站点位于 NGinX 反向代理后面，该代理配置为处理 443 上的流量。

谢谢，

Answer 1

您应该查看Hosting on Linux 上的文档。

确保在UseAuthentication之前在中间件管道中使用UseForwardedHeaders：

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});

app.UseAuthentication();

Nginx 会在将调用转发到 Kestrel 之前为使用的协议分配一个标头（除其他外）。 然后，此中间件将检查这些标头以设置正确的协议。

Answer 2

在 startup.cs 中，您可以尝试强制使用主机名和架构。以下代码可能会有所帮助。重要提示：将其放置在设置身份验证之前。

app.Use((context, next) =>
{
   context.Request.Host = new HostString(hostname + (port.HasValue ? ":" + port : null));
   context.Request.Scheme = protocol;
   return next();
});

Answer 3

我看到了这个并且能够让它工作：https://github.com/aspnet/Security/issues/1702

        var fordwardedHeaderOptions = new ForwardedHeadersOptions
        {
            ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
        };
        fordwardedHeaderOptions.KnownNetworks.Clear();
        fordwardedHeaderOptions.KnownProxies.Clear();

        app.UseForwardedHeaders(fordwardedHeaderOptions);