将 Azure AD 身份验证添加到现有的 .Net MVC 应用程序：id_token 未验证答案

【问题标题】：Adding Azure AD authentication to existing .Net MVC app: id_token not being validated将 Azure AD 身份验证添加到现有的 .Net MVC 应用程序：id_token 未验证
【发布时间】：2020-06-27 21:49:22
【问题描述】：

我正在尝试将 Azure AD 身份验证添加到当前使用单个用户帐户的 .Net MVC 应用程序。我已经在 Azure 中设置了应用注册，并安装并配置了 OpenID Connect。

在 Startup.cs 我添加了：

app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

// app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.UseOpenIdConnectAuthentication(
                new OpenIdConnectAuthenticationOptions
                {
                    // Sets the ClientId, authority, RedirectUri as obtained from web.config
                    ClientId = clientId,
                    Authority = authority,
                    RedirectUri = redirectUri,
                    // PostLogoutRedirectUri is the page that users will be redirected to after sign-out. In this case, it is using the home page
                    PostLogoutRedirectUri = redirectUri,
                    Scope = OpenIdConnectScope.OpenIdProfile,
                    // ResponseType is set to request the id_token - which contains basic information about the signed-in user
                    ResponseType = OpenIdConnectResponseType.IdToken,
                    // ValidateIssuer set to false to allow personal and work accounts from any organization to sign in to your application
                    // To only allow users from a single organizations, set ValidateIssuer to true and 'tenant' setting in web.config to the tenant name
                    // To allow users from only a list of specific organizations, set ValidateIssuer to true and use ValidIssuers parameter
                    TokenValidationParameters = new TokenValidationParameters()
                    {
                        ValidateIssuer = true // Simplification (see note below)
                    },
                    // OpenIdConnectAuthenticationNotifications configures OWIN to send notification of failed authentications to OnAuthenticationFailed method
                    Notifications = new OpenIdConnectAuthenticationNotifications
                    {
                        AuthenticationFailed = OnAuthenticationFailed
                    }
                }
            );

在web.config 中，我将身份验证类型设置为无

<authentication mode="None"/>

然后我添加了一个动作方法来触发挑战：

if (!Request.IsAuthenticated)
{
    HttpContext.GetOwinContext().Authentication.Challenge(
                new AuthenticationProperties { RedirectUri = "http://localhost:54465" },
                OpenIdConnectAuthenticationDefaults.AuthenticationType);
}

我仍然可以使用个人用户帐户登录应用程序（我想保留此选项），但无法使用 Azure AD 登录。用户被重定向到 Azure AD 登录屏幕并登录，我可以看到返回带有 id_token 的响应，但从未在应用程序中进行身份验证。

我知道这应该在 OpenID Connect 中间件中自动发生，但是还有什么需要设置的吗？

【问题讨论】：

标签： asp.net-mvc azure-active-directory openid-connect

【解决方案1】：

记得设置RedirectUri，和你在azure广告中注册的应用一样。

我使用您的代码进行测试，并且可以在应用中进行身份验证。在 Azure 广告应用注册中，单击Authentication 并选择Id Token。

您可以参考此article 并下载有关将 Microsoft 身份平台登录添加到 ASP.NET Web 应用程序的示例。

【讨论】：

嗨乔伊。已检查 Azure 应用注册与传入 Startup.cs 中的 Open ID 身份验证选项的内容之间的 RedirectUri 匹配。在 Azure 中启用了 ID 令牌 - 我可以看到 id_token 被返回，如果我手动解码它可以看到它是有效的。您发布的链接是我一直在使用的链接，但我一定遗漏了一些东西。

【解决方案2】：

我使用相同的 Azure 应用注册创建了一个干净的项目，它按预期工作，因此开始将这个干净的项目与我的旧项目进行比较。在项目的早期，它使用 SimpleMembershipProvider，尽管该项目已更改为使用 ASP.Net Identity，但 WebMatrix dll 仍被引用并包含在构建中。

删除这些引用、清理和重建已经解决了这个问题。

【讨论】：