如何强制ASP Net Core 2.0 MVC Web应用程序和Azure AD之间的重新身份验证

时间:2018-05-30 05:21:23

标签: asp.net-core asp.net-core-mvc azure-active-directory asp.net-core-2.0 azure-authentication

我有一个ASP.Net Core MVC Web应用程序,它使用Azure AD进行身份验证。我刚刚收到一个新要求,要求在输入一些敏感信息之前强制用户重新进行身份验证(输入此新信息的按钮会调用控制器操作,该操作会初始化新视图模型并将部分视图返回到引导模式中)。

我遵循this文章,为实现这一要求提供了很好的指导。我不得不做一些调整,以使它与ASP.Net Core 2.0一起工作,我认为是正确的,但我的问题如下......

  1. 添加资源过滤器装饰" [RequireReauthentication(0)]"到我的控制器动作工作但是传递值0意味着代码永远不会到达过滤器内的await.next()命令。如果我将参数值更改为30表示它有效但看起来非常随意。这个值应该是什么?

  2. 重新认证在调用返回完整视图的控制器操作时有效。但是,当我从一个ajax请求调用该操作时,它返回一个部分到一个bootstrap模式,它在加载模态之前失败

    3.   

    对预检请求的响应未通过访问控制检查:否   '访问控制允许来源'标题出现在请求的上   资源。起源' https://localhost:44308'因此是不允许的   访问

    这看起来像是一个CORS问题,但我不知道为什么它在执行标准mvc进程时会起作用,而不是从jquery调用时。添加

      

    services.AddCors();

         

    app.UseCors(builder =>   builder.WithOrigins(" https://login.microsoftonline.com&#34));

    到我的启动文件没有任何区别。这可能是什么问题?

    Startup.cs 

    public void ConfigureServices(IServiceCollection services)
{
    // Ommitted for clarity...

    services.AddAuthentication(sharedOptions =>
    {
        sharedOptions.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        sharedOptions.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
    })
    .AddAzureAd(options => Configuration.Bind("AzureAd", options))
    .AddCookie();

    services.AddCors();

    // Ommitted for clarity...
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // Ommitted for clarity...

    app.UseCors(builder => builder.WithOrigins("https://login.microsoftonline.com"));

    app.UseStaticFiles();

    app.UseAuthentication();

    app.UseMvc(routes =>
    {
        routes.MapRoute(
            name: "default",
            template: "{controller=Home}/{action=Index}/{id?}");
    });
}

    AzureAdAuthenticationBuilderExtensions.cs 

    public static class AzureAdAuthenticationBuilderExtensions
{        
    public static AuthenticationBuilder AddAzureAd(this AuthenticationBuilder builder)
        => builder.AddAzureAd(_ => { });

    public static AuthenticationBuilder AddAzureAd(this AuthenticationBuilder builder, Action<AzureAdOptions> configureOptions)
    {
        builder.Services.Configure(configureOptions);
        builder.Services.AddSingleton<IConfigureOptions<OpenIdConnectOptions>, ConfigureAzureOptions>();
        builder.AddOpenIdConnect(options =>
        {
            options.ClaimActions.Remove("auth_time");
            options.Events = new OpenIdConnectEvents
            {
                OnRedirectToIdentityProvider = RedirectToIdentityProvider
            };
        });
        return builder;
    }

    private static Task RedirectToIdentityProvider(RedirectContext context)
    {
        // Force reauthentication for sensitive data if required
        if (context.ShouldReauthenticate())
        {
            context.ProtocolMessage.MaxAge = "0"; // <time since last authentication or 0>;
        }
        else
        {
            context.Properties.RedirectUri = new PathString("/Account/SignedIn");
        }

        return Task.FromResult(0);
    }

    internal static bool ShouldReauthenticate(this RedirectContext context)
    {
        context.Properties.Items.TryGetValue("reauthenticate", out string reauthenticate);
        bool shouldReauthenticate = false;

        if (reauthenticate != null && !bool.TryParse(reauthenticate, out shouldReauthenticate))
        {
            throw new InvalidOperationException($"'{reauthenticate}' is an invalid boolean value");
        }

        return shouldReauthenticate;
    }

    // Ommitted for clarity...
}

    RequireReauthenticationAttribute.cs 

    public class RequireReauthenticationAttribute : Attribute, IAsyncResourceFilter
{
    private int _timeElapsedSinceLast;
    public RequireReauthenticationAttribute(int timeElapsedSinceLast)
    {
        _timeElapsedSinceLast = timeElapsedSinceLast;
    }
    public async Task OnResourceExecutionAsync(ResourceExecutingContext context, ResourceExecutionDelegate next)
    {
        var foundAuthTime = int.TryParse(context.HttpContext.User.FindFirst("auth_time")?.Value, out int authTime);
        var ts = DateTimeOffset.UtcNow.ToUnixTimeSeconds();

        if (foundAuthTime && ts - authTime < _timeElapsedSinceLast)
        {
            await next();
        }
        else
        {
            var state = new Dictionary<string, string> { { "reauthenticate", "true" } };
            await AuthenticationHttpContextExtensions.ChallengeAsync(context.HttpContext, OpenIdConnectDefaults.AuthenticationScheme, new AuthenticationProperties(state));
        }
    }
}

    CreateNote.cs 

    [HttpGet]
[RequireReauthentication(0)]
public IActionResult CreateNote(int id)
{
    TempData["IsCreate"] = true;
    ViewData["PostAction"] = "CreateNote";
    ViewData["PostRouteId"] = id;
    var model = new NoteViewModel
    {
        ClientId = id
    };
    return PartialView("_Note", model);
}

    Razor View(摘要) 

    <a asp-controller="Client" asp-action="CreateNote" asp-route-id="@ViewData["ClientId"]" id="client-note-get" data-ajax="true" data-ajax-method="get" data-ajax-update="#client-note-modal-content" data-ajax-mode="replace" data-ajax-success="ShowModal('#client-note-modal', null, null);" data-ajax-failure="AjaxFailure(xhr, status, error, false);"></a>

    所有帮助表示赞赏。感谢

1 个答案:

答案 0 :(得分:0)

CORS问题不在您的应用中。 您的AJAX调用正在尝试遵循身份验证重定向到Azure AD, 哪个不行。

您可以做的是在RedirectToIdentityProvider函数中,检查请求是否是AJAX请求。 如果是,则使其返回401状态代码,不重定向。

然后您的客户端JS需要检测状态代码,并发出触发身份验证的重定向。

相关问题
最新问题