仅在启用了第三方Cookie的情况下,使用身份验证代码进行Azure AD身份验证
我们正在使用Azure AD,并注册了用于身份验证的应用程序。该应用程序是ASP.net服务器端和Angular客户端应用程序。最初,这是通过隐式流程进行设置的,但此举动摇了Web浏览器的跨站点Cookie保护。身份验证有效,但前提是浏览器明确允许第三方cookie。
Microsoft documentation指定在使用身份验证代码流时,单页应用程序可以克服此问题。为了完成这项工作,我们使用与其提供的sample程序紧密匹配的配置来实现angular-auth-oidc-client(而不是尚未支持身份验证代码的msal-angular)。 ASP.net应用程序使用Microsoft.Identity.Web,并且其设置已更改为具有code响应类型。
Azure AD应用程序注册已根据Microsoft documentation进行了修改。我已经包含了该页面的屏幕截图,突出显示了隐式流已禁用,并且SPA重定向URI可以通过PKCE进行授权代码流处理。
但是,当在浏览器中阻止第三方cookie时,身份验证将基于CORS策略(Safari,Chrome和两者在私人浏览中)失败。在浏览器中允许第三方Cookie时,身份验证成功。
问题,作为不遵守CORS政策的原因,我们可以进行哪些调查?
Microsoft.Identity.Web配置:
"AzureAd": {
"Instance": "https://login.microsoftonline.com/",
"TenantId": "organizations",
"ClientId": "removed_our_azure_ad_client_id",
"CallbackPath": "/signin-oidc",
"SignedOutCallbackPath ": "/signout-callback-oidc",
"ResponseType": "code"
},
1 个答案:
答案 0 :(得分:0)
根据您共享的图像,redirecturi http://localhost:5000用于SPA应用程序,http://localhost:5000/signin-oidc用于Web应用程序。
但是在您的配置文件CallbackPath中是用于Web应用程序的。
带有PKCE的授权代码流仅适用于单页应用程序。请通过Prerequisites
请使用CallbackPath并为SPA应用程序提供URL,以解决此问题。
- 如何在启用cookie的情况下使用tomcat身份验证?
- 第三方AD租户上的Azure AD身份验证
- 在启用Windows身份验证的情况下,将Azure AD WebAPI部署到IIS,会跳过Azure AD身份验证
- 使用AD Xamarin.Forms进行身份验证
- 使用Azure AD B2C进行身份验证
- 使用Azure AD的Asp.net Core 2.0身份验证 - 仅对某些天蓝色AD组进行身份验证
- 在没有凭据的情况下对Azure AD进行身份验证
- 使用Azure AD身份验证进行Spring启动
- Azure函数身份验证-是否可以在没有AD的情况下进行?
- 仅在启用了第三方Cookie的情况下,使用身份验证代码进行Azure AD身份验证
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?