我在.NET 4.5中运行了代表性的示例:
https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof
但我需要在.NET核心中做同样的事情。当尝试将示例服务移植到.NET核心时,除了这一行之外,所有内容都会编译:
var bootstrapContext = ClaimsPrincipal.Current.Identities.First().BootstrapContext as System.IdentityModel.Tokens.BootstrapContext;
它不会编译,因为在.NET Core中没有System.IdentityModel。
我发现如果我使用此代码获取用户访问令牌和用户名,则它适用于相同租户中的用户作为服务:
System.Security.Claims.ClaimsIdentity identity =
User.Identity as System.Security.Claims.ClaimsIdentity;
string userAccessToken = identity.BootstrapContext as string;
string userName = (User.FindFirst(ClaimTypes.Upn))?.Value;
但对于不同租户(多租户身份验证)中的用户,userAccessToken和userName设置为null。我需要做些什么才能让来自不同租户的用户使用它?
答案 0 :(得分:3)
我发现userAccessToken和userName返回null的原因是因为我在Startup.cs中调用UseJwtBearerAuthentication时缺少SaveSigninToken参数:
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
AutomaticAuthenticate = true,
AutomaticChallenge = true,
Authority = String.Format(CultureInfo.InvariantCulture, Configuration["Authentication:AzureAd:AADInstance"], Configuration["Authentication:AzureAd:Tenant"]),
Audience = Configuration["Authentication:AzureAd:Audience"],
TokenValidationParameters = new TokenValidationParameters { SaveSigninToken = true, ValidateIssuer = false }
});
如果没有SaveSigninToken = true,则在来电者来自其他租户的情况下,来电者的访问令牌和身份不会流过。
答案 1 :(得分:0)
我们不是使用BootstrapContext类来获取access_token,而是可以直接使用控制器中的HttpContext通过以下代码获取orignal access_token:
var orignalToken = HttpContext.Request.Headers["authorization"][0].Split(' ')[1];