.net 核心 API 中的混合身份验证

Question

我正在构建一个多租户 Service Fabric 应用程序，它允许租户指定登录类型 - Identity(asp.net)/Azure AD。

我有一个身份验证服务，它检查用户链接到哪个租户，然后继续检查用户的用户名：密码是否有效，如果有效，它会向网关 API/Web API 返回一个 JWT 令牌，然后允许访问集群上的其余服务。

这由角色进一步保护以限制操作和数据访问等。

问题 1 如果租户使用 azure AD，那么保存该租户提供的应用程序 ID 和密码的安全方法是什么？ 在我的数据库中并加密信息，它必须被解密才能连接到 AD（试图保持动态）。

问题 2 我正在实现自己的滑动刷新令牌以在过期后获取新的 JWT，是否有更好/标准的方法？

问题 3 是否有更好/标准的方法来处理这个多租户登录过程。

问题 4 有没有办法在 JWT 主题上设置可选声明，允许访问共享服务，但如果声明值不正确，则阻止访问租户特定服务？

编辑 理想情况下，角色不应成为租户 AD/B2C 的一部分，因为它们的角色是动态的，并且在应用程序内进行管理。

Answer 1

不要构建您自己的 STS 逻辑，而是看看 IdentityServer，这是一个流行且出色的 OSS 工具。

例如，查看here 以获取使用 asp.net 核心的多租户示例。

它支持通过实现Profile Service 向令牌添加自定义声明。可以将服务配置为使用 authorization 的声明。

This blog post 也可能有用。

Answer 2

我强烈建议您使用 Azure 租户模型，让 Azure AD 管理所有凭据和身份验证。在当今世界，当有大量可用的身份提供者时，存储和管理用户凭据是一个非常糟糕的主意。

推荐阅读：

1. How to build a multi-tenant app with Azure AD
2. 如何secure a Web API with Azure AD。
3. 像 MSAL.NET 这样的库会自动manage token caches and refreshes。
4. 在 Azure AD 中使用 roles and groups
5. 在一定程度上对can be customized 发行的代币进行索赔。

免责声明：我为微软工作