在 Blazor wasm 中自动将访问令牌附加到 HTTP 客户端答案

【问题标题】：Automatically Attaching Access Token to HTTP Client in Blazor wasm在 Blazor wasm 中自动将访问令牌附加到 HTTP 客户端
【发布时间】：2020-07-24 15:44:16
【问题描述】：

我正在为我的 Blazor wasm 应用程序使用开放 id 连接身份提供程序，并希望将访问令牌附加到 http 客户端，如 this 文章中所述。

但是，每当我创建 http 客户端并尝试使用它时，我都会收到 AccessTokenNotAvailableException，即使在登录时也是如此。

这是我所拥有的：

在 Program.cs 中

// Add service for CustomAuthorizationMessageHandler
builder.Services.AddScoped<CustomAuthorizationMessageHandler>();

// Http client for requests to API
builder.Services.AddHttpClient("API", client =>
{
    // Set base address to API url
    client.BaseAddress = new Uri("https://localhost:44370");

    // Set request headers to application/json
    client.DefaultRequestHeaders.Accept.Add(new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
}).AddHttpMessageHandler<CustomAuthorizationMessageHandler>();

// Auth0 authentication setup
builder.Services.AddOidcAuthentication(options =>
{
    builder.Configuration.Bind("Auth0", options.ProviderOptions);
    options.ProviderOptions.ResponseType = "code";
});

CustomAuthorizationHandler.cs

public class CustomAuthorizationMessageHandler : AuthorizationMessageHandler
{
    public CustomAuthorizationMessageHandler(IAccessTokenProvider provider,
        NavigationManager navigationManager)
        : base(provider, navigationManager)
    {
        ConfigureHandler(
            authorizedUrls: new[] { "https://localhost:44370" },
            scopes: new[] { "admin" });
    }
}

尝试访问 api 时

try
{
    var client = ClientFactory.CreateClient("API");
    message = await client.GetStringAsync("api/message");
}
catch (AccessTokenNotAvailableException e)
{
    message = "You CANNOT access the api. Please log in";
}

目前，以下代码可以在删除 Program.cs 中的 AddHttpMessageHandler 调用时从 api 获取消息，但我不想每次进行 api 调用时都必须获取访问令牌。 TokenProvider 是 IAccessTokenProvider 类型，是被注入的。

var client = ClientFactory.CreateClient("API");
using (var requestMessage = new HttpRequestMessage(HttpMethod.Get, "api/message"))
{
    var tokenResult = await TokenProvider.RequestAccessToken();

    if (tokenResult.TryGetToken(out var token))
    {
        requestMessage.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token.Value);
        var response = await client.SendAsync(requestMessage);
        if(response.IsSuccessStatusCode)
        {
            message = await response.Content.ReadFromJsonAsync<string>();
        }
        else
        {
            message = await response.Content.ReadAsStringAsync();
        }
    }
    else
    {
        message = "You CANNOT access the api. Please log in";
    }
}

如何解决此问题，以免每次都收到 AccessTokenNotAvailableException？

【问题讨论】：

您使用的是什么身份提供程序？ IdentityServer4 还是别的什么？
@CobyC 我们正在使用 Auth0
好的，您添加了指向 Microsoft 站点的链接，但还有一篇 Auth0 文章解释了 Auth0 的实现。我只完成了 IdentityServer4 的实现。我在 Auth0 文章中提到的 Program.cs 设置中看不到 AddOidcAuthentication()。
@CobyC 我编辑了我的帖子以在 Program.cs 中展示我的 Auth0 oicd 实现
@CobyC 我使用那篇 Auth0 文章来设置身份验证

标签： c# asp.net-core blazor blazor-client-side blazor-webassembly

【解决方案1】：

已经明确表示有two ways为传出请求配置消息处理程序，建议实现自定义消息处理程序。再一次............您实现了一个自定义消息处理程序以配置消息处理程序。这是定制的唯一目的。当然，您可以重写 SendAsync 方法，如果有这样的操作，您就知道自己在做什么，并且做得恰当。但不能作为一种引入错误并实际上使 SendAsync 无效的方法。

这是自定义消息处理程序的实现：

using Microsoft.AspNetCore.Components;
using Microsoft.AspNetCore.Components.WebAssembly.Authentication;

public class CustomAuthorizationMessageHandler : AuthorizationMessageHandler
    {
        public CustomAuthorizationMessageHandler(IAccessTokenProvider provider,
            NavigationManager navigationManager)
            : base(provider, navigationManager)
        {
            ConfigureHandler(
               authorizedUrls: new[] { "https://localhost:44370" });
    
        }
    }

以上解决了你遇到的问题……也就是说，配置了scopes属性（scopes: new[] { "admin" });），可以省略。

以下是一些改进代码的建议：如下创建一个命名的 HttpClient 服务。

builder.Services.AddTransient(sp => sp.GetRequiredService<IHttpClientFactory> 
   ().CreateClient("ServerAPI"));

然后像这样将它注入到你的组件中：@inject HttpClient Http

并像这样使用它：

protected override async Task OnInitializedAsync()
    {
        try
        {
           message= await Http.GetFromJsonAsync<string>("api/message");
        }
        catch (AccessTokenNotAvailableException exception)
        {
            exception.Redirect();
        }
    }

注意：为了使用 GetFromJsonAsync 方法，您应该安装 System.Net.Http.Json 包

请注意，以上是处理 Http 请求的正确方法。这包括将用户重定向到登录页面。当然，您可以生成任何想要显示给用户的消息，但重定向是正确的方式。

应用上述建议的更改后，您的 Program.Main 方法应具有以下设置（注意顺序）：

builder.Services.AddScoped<CustomAuthorizationMessageHandler>();

            builder.Services.AddHttpClient("ServerAPI", client => client.BaseAddress = new Uri(builder.HostEnvironment.BaseAddress))
               .AddHttpMessageHandler<CustomAuthorizationMessageHandler>();
                
            builder.Services.AddTransient(sp => 
   sp.GetRequiredService<IHttpClientFactory>().CreateClient("ServerAPI"));

【讨论】：

原来 ConfigureHandler 方法中的 scopes 参数给我带来了麻烦，所以我删除了它并且它起作用了。我不认为要覆盖 SendAsync 方法，但我认为这也可以。感谢您的帮助！
很高兴你能成功！授权和身份验证是一个相当复杂的主题，有时文档解释得不够清楚。
我将注释掉范围行以供进一步参考。
@CobyC，除非您是已接受答案的用户，否则无法删除已接受的答案。但是，由于我通常会在未接受的情况下删除我的答案，因此我会将我的答案移至您的帖子并删除我的答案。