Azure AD OpenIDConnect + ASP.NET Core - 身份验证和额外权限/令牌？

Question

我正在对我的 Azure AD 使用以下位来通过 ASP.NET Core 进行身份验证。

https://azure.microsoft.com/en-us/resources/samples/active-directory-dotnet-webapp-openidconnect-aspnetcore/

https://github.com/Azure-Samples/active-directory-dotnet-webapp-openidconnect-aspnetcore

创建 Azure AD 应用后，我的基本登录/身份验证工作正常。用户可以登录/注销。

我的问题是，当用户 Auth 登录到数据库时，最好的方法是什么？我考虑过将重定向 URL 设置为端点，保存，然后只是重定向回“主页”，但这是理想的吗？

另外，是否可以通过这种方法检索不记名令牌？或者这是否需要另一种类型的调用或扩展“范围”？例如，我可以检索经过身份验证的用户管理器。

https://graph.microsoft.com/v1.0/me/manager

Answer 1

我的问题是，当用户 Auth 登录到数据库时，最好的方法是什么？我考虑过将重定向 URL 设置为端点，保存，然后只是重定向回“主页”，但这是理想的吗？

这种方式只能记录那些已经成功登录您的应用的人。它无法记录那些尝试登录您的应用但输入错误密码的用户。

Azure AD 已经提供了大量报告来了解组织目录的完整性和安全性。（请参阅 here）

如果您使用的是 Azure AD Premium，您可以通过下面的 Azure new portal 查看登录活动：

如果您想将登录活动存储在您的网络应用程序中，您可以在验证令牌后编写自定义代码。以下是供您参考的代码：

// Configure the OWIN pipeline to use OpenID Connect auth.
app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
 {
            ClientId = Configuration["AzureAD:ClientId"],
            Authority = String.Format(Configuration["AzureAd:AadInstance"], Configuration["AzureAd:Tenant"]),
            ResponseType = OpenIdConnectResponseType.IdToken,
            PostLogoutRedirectUri = Configuration["AzureAd:PostLogoutRedirectUri"],
            Events = new OpenIdConnectEvents
            {
                OnRemoteFailure = OnAuthenticationFailed,
                OnTokenValidated = context => {
                    //write the custom code to store users login-in                         
                    return Task.FromResult(0); }
            },

});

另外，是否可以通过这种方法检索不记名令牌？

是的。我们收到授权码后就可以拿到token了。你可以参考代码示例here从asp.net core app获取token。