Zabezpečení hostované aplikace ASP.NET Core Blazor WebAssembly pomocí Azure Active Directory B2C

Tento článek vysvětluje, jak vytvořit hostované Blazor WebAssembly řešení, které k ověřování používá Azure Active Directory (AAD) B2C.

Další pokrytí scénáře zabezpečení po přečtení tohoto článku najdete v tématu ASP.NET Core Blazor WebAssembly další scénáře zabezpečení.

Názorný postup

Pododdíly návodu vysvětlují, jak:

• Vytvoření tenanta v Azure
• Registrace serverové aplikace API v Azure
• Registrace klientské aplikace v Azure
• Blazor Vytvoření aplikace
• Úprava výchozího schématu oboru přístupového tokenu
• Spustit aplikaci

Vytvoření tenanta v Azure

Postupujte podle pokynů v kurzu: Vytvoření tenanta Azure Active Directory B2C pro vytvoření tenanta AAD B2C.

Než budete pokračovat v pokynech k tomuto článku, ověřte, že jste pro tenanta AAD B2C vybrali správný adresář.

Registrace serverové aplikace API v Azure

Registrace aplikace AAD B2C pro aplikaci API serveru:

1. Na webu Azure Portal přejděte do Azure AD B2C . Na bočním panelu vyberte Registrace aplikací. Vyberte tlačítko Nová registrace.
2. Zadejte název aplikace (například Blazor Server AAD B2C).
3. U podporovaných typů účtů vyberte možnost s více tenanty: Účty v libovolném zprostředkovateli identity nebo organizačním adresáři (pro ověřování uživatelů s toky uživatelů).
4. Aplikace Rozhraní API serveru v tomto scénáři nevyžaduje identifikátor URI přesměrování, proto ponechte rozevírací seznam Vybrat platformu nevybraný a nezadávejte identifikátor URI přesměrování.
5. Ověřte, že je vybrána možnost Oprávnění>udělit správci souhlas s openid a offline_access oprávnění.
6. Vyberte Zaregistrovat.

Poznamenejte si následující informace:

• ID aplikace rozhraní API serveru (klient) (například 41451fa7-82d9-4673-8fa5-69eff5a761fd)
• Instance AAD B2C (například https://contoso.b2clogin.com/, která zahrnuje koncové lomítko). Instance je schéma a hostitel registrace aplikace Azure B2C, který najdete otevřením okna Koncové body na stránce Registrace aplikací na webu Azure Portal.
• Primární doména/ Vydavatel/Tenant (například contoso.onmicrosoft.com): Doména je k dispozici jako doména vydavatele v okně Branding na webu Azure Portal pro zaregistrovanou aplikaci.

Na bočním panelu vyberte Zveřejnit rozhraní API a postupujte takto:

1. Vyberte Přidat rozsah.
2. Vyberte Uložit a pokračovat.
3. Zadejte název oboru (napříkladAPI.Access).
4. Zadejte zobrazovaný název Správa souhlasu (například Access API).
5. Zadejte popis souhlasu Správa (například Allows the app to access server app API endpoints.).
6. Ověřte, že je stav nastavený na Povoleno.
7. Vyberte Přidat rozsah.

Poznamenejte si následující informace:

• IDENTIFIKÁTOR URI ID aplikace (například záznam 41451fa7-82d9-4673-8fa5-69eff5a761fd z https://contoso.onmicrosoft.com/41451fa7-82d9-4673-8fa5-69eff5a761fd)
• Název oboru (například API.Access)

Registrace klientské aplikace v Azure

Registrace aplikace AAD B2C pro klientskou aplikaci:

1. Na webu Azure Portal přejděte do Azure AD B2C . Na bočním panelu vyberte Registrace aplikací. Vyberte tlačítko Nová registrace.
2. Zadejte název aplikace (například Blazor Klient AAD B2C).
3. U podporovaných typů účtů vyberte možnost s více tenanty: Účty v libovolném zprostředkovateli identity nebo organizačním adresáři (pro ověřování uživatelů s toky uživatelů).
4. Nastavte rozevírací seznam identifikátoru URI přesměrování na jednostránkové aplikace (SPA) a zadejte hodnotu identifikátoru https://localhost/authentication/login-callbackURI přesměrování . Pokud znáte identifikátor URI přesměrování produkčního prostředí pro výchozího hostitele Azure (například azurewebsites.net) nebo vlastního hostitele domény (například contoso.com), můžete také přidat identifikátor URI přesměrování produkčního prostředí současně s identifikátorem localhost URI přesměrování. Nezapomeňte do všech identifikátorů URI pro přesměrování v produkčním prostředí, které přidáte, zahrnout číslo portu pro jiné:443 porty.
5. Ověřte, že je vybrána možnost Oprávnění>udělit správci souhlas s openid a offline_access oprávnění.
6. Vyberte Zaregistrovat.

Poznámka:

Zadání čísla portu pro localhost identifikátor URI přesměrování AAD B2C není povinné. Další informace najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi): Výjimky localhost (dokumentace k Entra).

Poznamenejte si ID aplikace klienta (klienta) (například 4369008b-21fa-427c-abaa-9b53bf58e538).

V konfiguraci>ověřovací>platformy jednostrákovou aplikaci:

1. Ověřte, že je k dispozici identifikátor URI https://localhost/authentication/login-callback přesměrování.
2. V části Implicitní udělení se ujistěte, že nejsou zaškrtnutá políčka pro přístupové tokeny a tokeny ID. Implicitní udělení se nedoporučuje pro Blazor aplikace používající MSAL verze 2.0 nebo novější. Další informace najdete v tématu Zabezpečení ASP.NET Core Blazor WebAssembly.
3. Zbývající výchozí hodnoty pro aplikaci jsou pro toto prostředí přijatelné.
4. Pokud jste provedli změny, vyberte tlačítko Uložit.

V oprávněních rozhraní API z bočního panelu:

1. Vyberte Přidat oprávnění následovaná rozhraními API.
2. Ve sloupci Název vyberte aplikaciApi serveru (například Blazor Server AAD B2C).
3. Pokud ještě není otevřený, otevřete seznam rozhraní API.
4. Pomocí zaškrtávacího políčka povolte přístup k rozhraní API (například API.Access).
5. Vyberte Přidat oprávnění.
6. Vyberte tlačítko Udělit souhlas správce pro {NÁZEV TENANTA}. Potvrďte výběrem možnosti Ano.

Důležité

Pokud nemáte oprávnění správce udělit souhlas správce s tenantem v posledním kroku konfigurace oprávnění rozhraní API, protože souhlas s používáním aplikace se deleguje uživatelům, musíte provést následující další kroky:

• Aplikace musí používat důvěryhodnou doménu vydavatele.
• Server V konfiguraci aplikace na webu Azure Portal vyberte Zveřejnit rozhraní API. V části Autorizované klientské aplikace vyberte tlačítko Přidat klientskou aplikaci. Client Přidejte ID aplikace (klienta) (například 4369008b-21fa-427c-abaa-9b53bf58e538).

Vraťte se do Azure AD B2C na webu Azure Portal. Vyberte toky uživatelů a použijte následující doprovodné materiály: Vytvořte tok uživatele pro registraci a přihlášení. Minimálně vyberte deklarace identity aplikace pro tok uživatele registrace/přihlášení a potom zaškrtávací políčko Zobrazované jméno atributu uživatele pro naplnění context.User.Identity?.Namecontext.User.Identity.Name/součásti LoginDisplay ().Shared/LoginDisplay.razor

Poznamenejte si přihlašovací a přihlašovací název toku vytvořený pro aplikaci (například B2C_1_signupsignin1).

Blazor Vytvoření aplikace

Zástupné symboly v následujícím příkazu nahraďte informacemi zaznamenanými dříve a spusťte příkaz v příkazovém prostředí:

dotnet new blazorwasm -au IndividualB2C --aad-b2c-instance "{AAD B2C INSTANCE}" --api-client-id "{SERVER API APP CLIENT ID}" --app-id-uri "{SERVER API APP ID URI GUID}" --client-id "{CLIENT APP CLIENT ID}" --default-scope "{DEFAULT SCOPE}" --domain "{TENANT DOMAIN}" -ho -o {PROJECT NAME} -ssp "{SIGN UP OR SIGN IN POLICY}"

Upozorňující

Nepoužívejte pomlčky (-) v názvu {PROJECT NAME} aplikace, které přeruší tvorbu identifikátoru aplikace OIDC. Logika v Blazor WebAssembly šabloně projektu používá název projektu pro identifikátor aplikace OIDC v konfiguraci řešení. Argumenty typu Pascal () nebo podtržítka (BlazorSampleBlazor_Sample) jsou přijatelné alternativy. Další informace najdete v tématu Dashes in a hostovaný Blazor WebAssembly projekt name break OIDC security (dotnet/aspnetcore #35337).

Zástupný symbol	Název webu Azure Portal	Příklad
{AAD B2C INSTANCE}	Instance	https://contoso.b2clogin.com/ (včetně koncového lomítka)
{PROJECT NAME}	—	BlazorSample
{CLIENT APP CLIENT ID}	ID aplikace (klienta) aplikace Client	4369008b-21fa-427c-abaa-9b53bf58e538
{DEFAULT SCOPE}	Název oboru	API.Access
{SERVER API APP CLIENT ID}	ID aplikace (klienta) aplikace Server	41451fa7-82d9-4673-8fa5-69eff5a761fd
{SERVER API APP ID URI GUID}	IDENTIFIKÁTOR URI ID aplikace	41451fa7-82d9-4673-8fa5-69eff5a761fd (POUZE IDENTIFIKÁTOR GUID ve výchozím nastavení odpovídá hodnotě {SERVER API APP CLIENT ID})
{SIGN UP OR SIGN IN POLICY}	Tok registrace/přihlášení uživatele	B2C_1_signupsignin1
{TENANT DOMAIN}	Primární/ vydavatel/ doména tenanta	contoso.onmicrosoft.com

Výstupní umístění zadané pomocí -o|--output možnosti vytvoří složku projektu, pokud neexistuje, a stane se součástí názvu projektu. Nepoužívejte pomlčky (-) v názvu aplikace, které přeruší vytvoření identifikátoru aplikace OIDC (viz předchozí UPOZORNĚNÍ).

Spustit aplikaci

Spusťte aplikaci z Server projektu. Při použití sady Visual Studio:

• Vyberte šipku rozevíracího seznamu vedle tlačítka Spustit . V rozevíracím seznamu otevřete Konfigurovat projekty po spuštění. Vyberte možnost Jeden spouštěný projekt. Potvrďte nebo změňte projekt pro projekt po spuštění na Server projekt.

• Než aplikaci spustíte, ověřte, že Server je projekt zvýrazněný v Průzkumník řešení:

  • Vyberte tlačítko Run (Spustit).
  • V nabídce použijte ladění spustit ladění.>
  • Stiskněte klávesu F5.

• V příkazovém prostředí přejděte do Server složky projektu řešení. Spusťte příkaz dotnet run.

Vlastní zásady

Microsoft Authentication Library (Microsoft.Authentication.WebAssembly.Msalbalíček NuGet) ve výchozím nastavení nepodporuje vlastní zásady AAD B2C.

Konfigurace User.Identity.Name

Pokyny v této části se týkají volitelného naplnění User.Identity.Name hodnotou z name deklarace identity.

Ve výchozím nastavení Server rozhraní API aplikace naplní User.Identity.Name hodnotu z http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name typu deklarace identity (například 2d64b3da-d9d5-42c6-9352-53d8df33d770@contoso.onmicrosoft.com).

Konfigurace aplikace tak, aby přijímala hodnotu z name typu deklarace identity:

• Přidejte do Program souboru obor názvůMicrosoft.AspNetCore.Authentication.JwtBearer:

  using Microsoft.AspNetCore.Authentication.JwtBearer;
  

• TokenValidationParameters.NameClaimType Nakonfigurujte soubor JwtBearerOptionsProgram:

  builder.Services.Configure<JwtBearerOptions>(
      JwtBearerDefaults.AuthenticationScheme, options =>
      {
          options.TokenValidationParameters.NameClaimType = "name";
      });
  

Části řešení

Tato část popisuje části řešení vygenerované ze Blazor WebAssembly šablony projektu a popisuje způsob konfigurace řešení Client a Server projektů pro referenci. Pokud jste aplikaci vytvořili pomocí pokynů v části Návod , není v této části potřeba postupovat podle konkrétních pokynů. Pokyny v této části jsou užitečné pro aktualizaci aplikace pro ověřování a autorizaci uživatelů. Alternativním přístupem k aktualizaci aplikace je ale vytvoření nové aplikace z pokynů v části Návod a přesun komponent, tříd a prostředků aplikace do nové aplikace.

Konfigurace appsettings.json

Tato část se týká aplikace řešení Server .

Soubor appsettings.json obsahuje možnosti konfigurace obslužné rutiny nosné rutiny JWT použité k ověření přístupových tokenů:

{
  "AzureAdB2C": {
    "Instance": "https://{TENANT}.b2clogin.com/",
    "ClientId": "{SERVER API APP CLIENT ID}",
    "Domain": "{TENANT DOMAIN}",
    "Scopes": "{DEFAULT SCOPE}",
    "SignUpSignInPolicyId": "{SIGN UP OR SIGN IN POLICY}"
  }
}

Příklad:

{
  "AzureAdB2C": {
    "Instance": "https://contoso.b2clogin.com/",
    "ClientId": "41451fa7-82d9-4673-8fa5-69eff5a761fd",
    "Domain": "contoso.onmicrosoft.com",
    "Scopes": "API.Access",
    "SignUpSignInPolicyId": "B2C_1_signupsignin1",
  }
}

Ověřovací balíček

Tato část se týká aplikace řešení Server .

Balíček poskytuje podporu ověřování a autorizace volání webových rozhraní API ASP.NET Core s platformou Microsoft.Identity.Web MicrosoftIdentity.

Poznámka:

Pokyny k přidávání balíčků do aplikací .NET najdete v článcích v části Instalace a správa balíčků na webu Pracovní postup používání balíčků (dokumentace k NuGetu). Ověřte správné verze balíčků na NuGet.org.

Aplikace Server hostovaného Blazor řešení vytvořeného Blazor WebAssembly ze šablony ve výchozím nastavení obsahuje Microsoft.Identity.Web.UI balíček. Balíček přidá uživatelské rozhraní pro ověřování uživatelů ve webových aplikacích a rozhraní ho Blazor nepoužívá. Server Pokud se aplikace nebude používat k přímému ověřování uživatelů, je bezpečné odebrat odkaz na balíček ze Server souboru projektu aplikace.

Podpora ověřovací služby

Tato část se týká aplikace řešení Server .

Metoda AddAuthentication nastaví ověřovací služby v aplikaci a nakonfiguruje obslužnou rutinu JWT Bearer jako výchozí metodu ověřování. Tato AddMicrosoftIdentityWebApi metoda konfiguruje služby pro ochranu webového rozhraní API pomocí platformy Microsoft Identity Platform v2.0. Tato metoda očekává AzureAdB2C část v konfiguraci aplikace s potřebnými nastaveními pro inicializaci možností ověřování.

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(Configuration.GetSection("AzureAdB2C"));

Poznámka:

Při registraci jednoho schématu ověřování se schéma ověřování automaticky použije jako výchozí schéma aplikace a není nutné schéma uvést do AddAuthentication nebo přes AuthenticationOptions. Další informace najdete v tématu Přehled ASP.NET základního ověřování a oznámení ASP.NET Core (aspnet/Oznámení č. 490).

UseAuthentication a UseAuthorization ujistěte se, že:

• Aplikace se pokusí analyzovat a ověřovat tokeny při příchozích požadavcích.
• Všechny žádosti o přístup k chráněnému prostředku bez správných přihlašovacích údajů selžou.

app.UseAuthorization();

WeatherForecast Řadič

Tato část se týká aplikace řešení Server .

Kontroler WeatherForecast (Controllers/WeatherForecastController.cs) zveřejňuje chráněné rozhraní API s atributem [Authorize] použitým pro kontroler. Je důležité pochopit, že:

• Atribut [Authorize] v tomto kontroleru rozhraní API je jediná věc, která chrání toto rozhraní API před neoprávněným přístupem.
• Atribut [Authorize] použitý v Blazor WebAssembly aplikaci slouží jenom jako nápověda k aplikaci, že uživatel by měl mít oprávnění k tomu, aby aplikace fungovala správně.

[Authorize]
[ApiController]
[Route("[controller]")]
[RequiredScope(RequiredScopesConfigurationKey = "AzureAdB2C:Scopes")]
public class WeatherForecastController : ControllerBase
{
    [HttpGet]
    public IEnumerable<WeatherForecast> Get()
    {
        ...
    }
}

Konfigurace wwwroot/appsettings.json

Tato část se týká aplikace řešení Client .

Konfigurace je poskytována souborem wwwroot/appsettings.json :

{
  "AzureAdB2C": {
    "Authority": "{AAD B2C INSTANCE}{TENANT DOMAIN}/{SIGN UP OR SIGN IN POLICY}",
    "ClientId": "{CLIENT APP CLIENT ID}",
    "ValidateAuthority": false
  }
}

V předchozí konfiguraci {AAD B2C INSTANCE} obsahuje koncové lomítko.

Příklad:

{
  "AzureAdB2C": {
    "Authority": "https://contoso.b2clogin.com/contoso.onmicrosoft.com/B2C_1_signupsignin1",
    "ClientId": "4369008b-21fa-427c-abaa-9b53bf58e538",
    "ValidateAuthority": false
  }
}

Ověřovací balíček

Tato část se týká aplikace řešení Client .

Když je aplikace vytvořená tak, aby používala individuální účet B2C (IndividualB2C), aplikace automaticky obdrží odkaz na balíček pro knihovnu Microsoft Authentication Library (Microsoft.Authentication.WebAssembly.Msal). Balíček poskytuje sadu primitiv, které aplikaci pomáhají ověřovat uživatele a získávat tokeny pro volání chráněných rozhraní API.

Pokud do aplikace přidáváte ověřování, přidejte balíček Microsoft.Authentication.WebAssembly.Msal do aplikace ručně.

Poznámka:

Pokyny k přidávání balíčků do aplikací .NET najdete v článcích v části Instalace a správa balíčků na webu Pracovní postup používání balíčků (dokumentace k NuGetu). Ověřte správné verze balíčků na NuGet.org.

Balíček Microsoft.Authentication.WebAssembly.Msal tranzitivně přidá Microsoft.AspNetCore.Components.WebAssembly.Authentication do aplikace.

Podpora ověřovací služby

Tato část se týká aplikace řešení Client .

HttpClient Přidává se podpora instancí, které při provádění požadavků na serverový projekt zahrnují přístupové tokeny.

V souboru Program:

builder.Services.AddHttpClient("{PROJECT NAME}.ServerAPI", client => 
    client.BaseAddress = new Uri(builder.HostEnvironment.BaseAddress))
    .AddHttpMessageHandler<BaseAddressAuthorizationMessageHandler>();

builder.Services.AddScoped(sp => sp.GetRequiredService<IHttpClientFactory>()
    .CreateClient("{PROJECT NAME}.ServerAPI"));

Zástupný symbol {PROJECT NAME} je název projektu při vytváření řešení. Například zadáním názvu BlazorSample projektu vznikne název HttpClient .BlazorSample.ServerAPI

Podpora ověřování uživatelů je zaregistrovaná v kontejneru služby pomocí AddMsalAuthentication metody rozšíření poskytované balíčkem Microsoft.Authentication.WebAssembly.Msal . Tato metoda nastaví služby, které aplikace potřebuje k interakci s poskytovatelem Identity (IP).

V souboru Program:

builder.Services.AddMsalAuthentication(options =>
{
    builder.Configuration.Bind("AzureAdB2C", options.ProviderOptions.Authentication);
    options.ProviderOptions.DefaultAccessTokenScopes.Add("{SCOPE URI}");
});

Jedná se {SCOPE URI} o výchozí obor přístupového tokenu (například https://contoso.onmicrosoft.com/41451fa7-82d9-4673-8fa5-69eff5a761fd/API.Access vlastní identifikátor URI, který jste nakonfigurovali na webu Azure Portal).

Metoda AddMsalAuthentication přijímá zpětné volání ke konfiguraci parametrů potřebných k ověření aplikace. Hodnoty vyžadované pro konfiguraci aplikace se dají získat z konfigurace AAD na webu Azure Portal při registraci aplikace.

Obory přístupového tokenu

Tato část se týká aplikace řešení Client .

Výchozí obory přístupového tokenu představují seznam oborů přístupových tokenů, které jsou:

• Součástí žádosti o přihlášení je ve výchozím nastavení.
• Slouží k okamžitému zřízení přístupového tokenu po ověření.

Všechny obory musí patřit do stejné aplikace podle pravidel ID Microsoft Entra. Podle potřeby je možné přidat další obory pro další aplikace API:

builder.Services.AddMsalAuthentication(options =>
{
    ...
    options.ProviderOptions.DefaultAccessTokenScopes.Add("{SCOPE URI}");
});

Zadejte další obory pomocí AdditionalScopesToConsent:

options.ProviderOptions.AdditionalScopesToConsent.Add("{ADDITIONAL SCOPE URI}");

Poznámka:

AdditionalScopesToConsent Není možné zřídit delegovaná uživatelská oprávnění pro Microsoft Graph prostřednictvím uživatelského rozhraní souhlasu s ID Microsoft Entra, když uživatel poprvé používá aplikaci zaregistrovanou v Microsoft Azure. Další informace najdete v tématu Použití rozhraní Graph API s ASP.NET Core Blazor WebAssembly.

Příklad výchozího oboru přístupového tokenu:

options.ProviderOptions.DefaultAccessTokenScopes.Add(
    "https://contoso.onmicrosoft.com/41451fa7-82d9-4673-8fa5-69eff5a761fd/API.Access");

Další informace najdete v následujících částech článku Další scénáře :

• Vyžádání dalších přístupových tokenů
• Připojení tokenů k odchozím požadavkům

Režim přihlášení

Tato část se týká aplikace řešení Client .

Ve výchozím nastavení rozhraní se automaticky otevíraný režim přihlášení vrátí do režimu přesměrování, pokud se automaticky otevírané okno nedá otevřít. Nakonfigurujte MSAL tak, aby používal režim přesměrování přihlášení nastavením LoginMode vlastnosti MsalProviderOptions na redirect:

builder.Services.AddMsalAuthentication(options =>
{
    ...
    options.ProviderOptions.LoginMode = "redirect";
});

Výchozí nastavení je popupa hodnota řetězce nerozlišuje malá a velká písmena.

Import souboru

Tato část se týká aplikace řešení Client .

Obor Microsoft.AspNetCore.Components.Authorization názvů je dostupný v celé aplikaci prostřednictvím _Imports.razor souboru:

@using System.Net.Http
@using System.Net.Http.Json
@using Microsoft.AspNetCore.Components.Authorization
@using Microsoft.AspNetCore.Components.Forms
@using Microsoft.AspNetCore.Components.Routing
@using Microsoft.AspNetCore.Components.Web
@using Microsoft.AspNetCore.Components.Web.Virtualization
@using Microsoft.AspNetCore.Components.WebAssembly.Http
@using Microsoft.JSInterop
@using {APPLICATION ASSEMBLY}
@using {APPLICATION ASSEMBLY}.Shared

Indexová stránka

Tato část se týká aplikace řešení Client .

Stránka Index (wwwroot/index.html) obsahuje skript, který definuje v JavaScriptu AuthenticationService . AuthenticationService zpracovává podrobnosti nízké úrovně protokolu OIDC. Aplikace interně volá metody definované ve skriptu k provádění ověřovacích operací.

<script src="_content/Microsoft.Authentication.WebAssembly.Msal/AuthenticationService.js"></script>

Komponenta aplikace

Tato část se týká aplikace řešení Client .

Komponenta App (App.razor) se podobá komponentě App nalezené v Blazor Server aplikacích:

• Komponenta CascadingAuthenticationState spravuje vystavení AuthenticationState zbytku aplikace.
• Komponenta AuthorizeRouteView zajišťuje, že aktuální uživatel má oprávnění pro přístup k dané stránce nebo že komponentu RedirectToLogin jinak vykresluje.
• Komponenta RedirectToLogin spravuje přesměrování neoprávněných uživatelů na přihlašovací stránku.

Vzhledem ke změnám v rozhraní napříč verzemi ASP.NET Core Razor se v této části nezobrazují značky komponenty App (App.razor). Pokud chcete zkontrolovat kód komponenty pro danou verzi, použijte některý z následujících přístupů:

• Vytvořte aplikaci zřízenou pro ověřování z výchozí Blazor WebAssembly šablony projektu pro verzi ASP.NET Core, kterou chcete použít. Zkontrolujte komponentu App (App.razor) ve vygenerované aplikaci.

• Zkontrolujte komponentu (App.razor) v referenčním App zdroji. Vyberte verzi ze selektoru větve a vyhledejte komponentu ve ProjectTemplates složce úložiště, protože se v průběhu let přesunula.

  Poznámka:

  Odkazy na dokumentaci k referenčnímu zdroji .NET obvykle načítají výchozí větev úložiště, která představuje aktuální vývoj pro příští verzi .NET. Pokud chcete vybrat značku pro konkrétní verzi, použijte rozevírací seznam pro přepnutí větví nebo značek. Další informace najdete v tématu Jak vybrat značku verze zdrojového kódu ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponenta RedirectToLogin

Tato část se týká aplikace řešení Client .

Komponenta RedirectToLogin (RedirectToLogin.razor):

• Spravuje přesměrování neoprávněných uživatelů na přihlašovací stránku.
• Aktuální adresa URL, ke které se uživatel pokouší získat přístup, je udržována tak, aby se v případě úspěšného ověření vrátila na tuto stránku:
  • Stav historie navigace v ASP.NET Core v .NET 7 nebo novějším
  • Řetězec dotazu v ASP.NET Core v .NET 6 nebo starší.

Zkontrolujte komponentu v referenčním RedirectToLogin zdroji. Umístění komponenty se v průběhu času změnilo, proto k vyhledání komponenty použijte vyhledávací nástroje GitHubu.

Poznámka:

Odkazy na dokumentaci k referenčnímu zdroji .NET obvykle načítají výchozí větev úložiště, která představuje aktuální vývoj pro příští verzi .NET. Pokud chcete vybrat značku pro konkrétní verzi, použijte rozevírací seznam pro přepnutí větví nebo značek. Další informace najdete v tématu Jak vybrat značku verze zdrojového kódu ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponenta LoginDisplay

Tato část se týká aplikace řešení Client .

Komponenta LoginDisplay (LoginDisplay.razor) se vykreslí MainLayout v komponentě (MainLayout.razor) a spravuje následující chování:

• Pro ověřené uživatele:
  • Zobrazí aktuální uživatelské jméno.
  • Nabízí odkaz na stránku profilu uživatele v ASP.NET Core Identity.
  • Nabízí tlačítko pro odhlášení z aplikace.
• Anonymní uživatelé:
  • Nabízí možnost registrace.
  • Nabízí možnost přihlášení.

Vzhledem ke změnám v rozhraní napříč verzemi ASP.NET Core Razor se v této části nezobrazují značky komponenty LoginDisplay . Pokud chcete zkontrolovat kód komponenty pro danou verzi, použijte některý z následujících přístupů:

• Vytvořte aplikaci zřízenou pro ověřování z výchozí Blazor WebAssembly šablony projektu pro verzi ASP.NET Core, kterou chcete použít. Zkontrolujte komponentu LoginDisplay ve vygenerované aplikaci.

• Zkontrolujte komponentu v referenčním LoginDisplay zdroji. Umístění komponenty se v průběhu času změnilo, proto k vyhledání komponenty použijte vyhledávací nástroje GitHubu. Použije se šablonovaný obsah, Hosted který true se rovná.

  Poznámka:

  Odkazy na dokumentaci k referenčnímu zdroji .NET obvykle načítají výchozí větev úložiště, která představuje aktuální vývoj pro příští verzi .NET. Pokud chcete vybrat značku pro konkrétní verzi, použijte rozevírací seznam pro přepnutí větví nebo značek. Další informace najdete v tématu Jak vybrat značku verze zdrojového kódu ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Komponenta ověřování

Tato část se týká aplikace řešení Client .

Stránka vytvořená komponentou Authentication (Pages/Authentication.razor) definuje trasy potřebné pro zpracování různých fází ověřování.

Komponenta RemoteAuthenticatorView :

• Balíček je poskytován Microsoft.AspNetCore.Components.WebAssembly.Authentication .
• Spravuje provádění příslušných akcí v každé fázi ověřování.

@page "/authentication/{action}"
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication

<RemoteAuthenticatorView Action="Action" />

@code {
    [Parameter]
    public string? Action { get; set; }
}

Poznámka:

Statické analýzy stavu null s možnou hodnotou null (NRT) a kompilátoru .NET se podporují v ASP.NET Core v .NET 6 nebo novějším. Před vydáním ASP.NET Core v .NET 6 string se typ zobrazí bez označení typu null (?).

Komponenta FetchData

Tato část se týká aplikace řešení Client .

Komponenta FetchData ukazuje, jak:

• Zřízení přístupového tokenu
• Přístupový token použijte k volání chráněného rozhraní API prostředků v aplikaci Server .

Direktiva @attribute [Authorize]Blazor WebAssembly označuje autorizační systém, že uživatel musí být autorizovaný, aby mohl tuto komponentu navštívit. Přítomnost atributu Client v aplikaci nezabrání volání rozhraní API na serveru bez správných přihlašovacích údajů. Aplikace Server musí také používat [Authorize] příslušné koncové body, aby je správně chránila.

IAccessTokenProvider.RequestAccessToken postará se o vyžádání přístupového tokenu, který je možné přidat do požadavku pro volání rozhraní API. Pokud je token uložený v mezipaměti nebo služba dokáže zřídit nový přístupový token bez zásahu uživatele, žádost o token proběhne úspěšně. V opačném případě požadavek tokenu selže s chybou AccessTokenNotAvailableException, která je zachycena try-catch v příkazu.

Aby bylo možné získat skutečný token, který se má zahrnout do požadavku, musí aplikace zkontrolovat, že požadavek byl úspěšný voláním tokenResult.TryGetToken(out var token).

Pokud byl požadavek úspěšný, proměnná tokenu se naplní přístupovým tokenem. AccessToken.Value Vlastnost tokenu zveřejňuje řetězec literálu, který se má zahrnout do hlavičky Authorization požadavku.

Pokud požadavek selhal, protože se token nepodařilo zřídit bez zásahu uživatele:

• ASP.NET Core v .NET 7 nebo novějším: Aplikace přejde k AccessTokenResult.InteractiveRequestUrl použití dané AccessTokenResult.InteractionOptions aplikace, aby umožňovala aktualizaci přístupového tokenu.
• ASP.NET Core v .NET 6 nebo starší: Výsledek tokenu obsahuje adresu URL přesměrování. Přechod na tuto adresu URL přenese uživatele na přihlašovací stránku a po úspěšném ověření se vrátí na aktuální stránku.

@page "/fetchdata"
@using Microsoft.AspNetCore.Authorization
@using Microsoft.AspNetCore.Components.WebAssembly.Authentication
@using {APP NAMESPACE}.Shared
@attribute [Authorize]
@inject HttpClient Http

...

@code {
    private WeatherForecast[] forecasts;

    protected override async Task OnInitializedAsync()
    {
        try
        {
            forecasts = await Http.GetFromJsonAsync<WeatherForecast[]>("WeatherForecast");
        }
        catch (AccessTokenNotAvailableException exception)
        {
            exception.Redirect();
        }
    }
}

Odstraňování potíží

Protokolování

Pokud chcete povolit protokolování ladění nebo trasování pro Blazor WebAssembly ověřování, přečtěte si část Protokolování ověřování na straně klienta protokolování ASP.NET Core Blazor pomocí selektoru verze článku nastaveného na ASP.NET Core 7.0 nebo novější.

Běžné chyby

• Chybná konfigurace aplikace nebo Identity poskytovatele (IP)

  Nejčastější chyby jsou způsobené nesprávnou konfigurací. Tady je několik příkladů:

  • V závislosti na požadavcích scénáře brání chybějící nebo nesprávné autoritě, instanci, ID tenanta, doméně tenanta, ID klienta nebo identifikátoru URI přesměrování, aby aplikace ověřoval klienty.
  • Nesprávné obory požadavků brání klientům v přístupu ke koncovým bodům webového rozhraní API serveru.
  • Nesprávná nebo chybějící oprávnění rozhraní API serveru brání klientům v přístupu ke koncovým bodům webového rozhraní API serveru.
  • Spuštění aplikace na jiném portu, než je nakonfigurované v identifikátoru URI přesměrování registrace aplikace IP adresy. Všimněte si, že port není nutný pro MICROSOFT Entra ID a aplikaci spuštěnou localhost na adrese pro testování vývoje, ale konfigurace portu aplikace a port, na kterém je aplikace spuštěná, se musí shodovat s neadresoulocalhost .

  V oddílech konfigurace pokynů v tomto článku najdete příklady správné konfigurace. Pečlivě zkontrolujte každou část článku, ve které hledáte chybnou konfiguraci aplikace a IP adresy.

  Pokud se konfigurace zobrazí správně:

  • Analyzujte protokoly aplikace.

  • Prozkoumejte síťový provoz mezi klientskou aplikací a IP nebo serverovou aplikací pomocí vývojářských nástrojů prohlížeče. Často je přesná chybová zpráva nebo zpráva s povědomím o příčině problému vrácena klientovi ip adresou nebo serverovou aplikací po provedení požadavku. Vývojářské nástroje pokyny najdete v následujících článcích:

    • Google Chrome (dokumentace Google)
    • Microsoft Edge
    • Mozilla Firefox (dokumentace k Mozilla)

  • U verzí Blazor , ve JSkterých se používá on Web Token (JWT), dekódujte obsah tokenu, který se používá k ověřování klienta nebo přístupu k webovému rozhraní API serveru, v závislosti na tom, kde k problému dochází. Další informace naleznete v tématu Kontrola obsahu JSON Web Token (JWT).

  Tým dokumentace reaguje na zpětnou vazbu a chyby v článcích (otevřete problém z oddílu Pro zpětnou vazbu na této stránce ), ale nemůže poskytnout podporu k produktům. K dispozici je několik veřejných fór podpory, která vám pomůžou s řešením potíží s aplikací. Doporučujeme následující:

  • Stack Overflow (značka: blazor)
  • ASP.NET Core Slack Team
  • Blazor Gitter

  Předchozí fóra nejsou vlastněna ani řízena Společností Microsoft.

  V případě zpráv o chybách rozhraní bez zabezpečení, nerozlišujících a nedůvěryhodných reprodukovatelných chyb otevřete problém s produktovou jednotkou ASP.NET Core. Neotevírejte problém s produktovou jednotkou, dokud důkladně neprošetříte příčinu problému a nemůžete ho vyřešit sami a s pomocí komunity na veřejném fóru podpory. Produktová jednotka nedokáže řešit potíže s jednotlivými aplikacemi, které jsou poškozené kvůli jednoduché chybné konfiguraci nebo případům použití zahrnujícím služby třetích stran. Pokud je sestava citlivá nebo důvěrná v povaze nebo popisuje potenciální chybu zabezpečení v produktu, který by útočníci mohli zneužít, přečtěte si téma Hlášení problémů se zabezpečením a chyb (dotnet/aspnetcore úložiště GitHub).</a0>

• Neautorizovaný klient pro ME-ID

  info: Autorizace Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2] selhala. Tyto požadavky nebyly splněny: DenyAnonymousAuthorizationRequirement: Vyžaduje ověřeného uživatele.

  Chyba zpětného volání přihlášení z ME-ID:

  • Chyba: unauthorized_client
  • Popis: AADB2C90058: The provided application is not configured to allow public clients.

  Řešení chyby:

  1. Na webu Azure Portal přejděte k manifestu aplikace.
  2. allowPublicClient Nastavte atribut na null nebo true.

Cookies a data lokality

Cookiedata s a webu můžou přetrvat v aktualizacích aplikací a kolidovat s testováním a odstraňováním potíží. Při provádění změn kódu aplikace, změn uživatelského účtu u poskytovatele nebo změn konfigurace aplikace poskytovatele zrušte následující:

• Přihlášení cookieuživatele
• Aplikace cookie
• Uložená a uložená data lokality v mezipaměti

Jedním z přístupů, jak zabránit tomu, aby se při testování a řešení potíží zabránilo přetrvávání cookiedat lokality, je:

• Konfigurace prohlížeče
  • K testování můžete použít prohlížeč, který můžete nakonfigurovat tak, aby při každém zavření prohlížeče odstranil všechna cookie data a data webu.
  • Ujistěte se, že je prohlížeč zavřený ručně nebo integrované vývojové prostředí (IDE) pro všechny změny aplikace, testovacího uživatele nebo konfigurace poskytovatele.
• Pomocí vlastního příkazu otevřete prohlížeč v režimu InPrivate nebo Incognito v sadě Visual Studio:
  • V dialogovém okně Spustit v sadě Visual Studio otevřete dialogové okno Procházet.
  • Vyberte tlačítko Přidat.
  • Do pole Program zadejte cestu k prohlížeči. Následující spustitelné cesty jsou typická umístění instalace pro Windows 10. Pokud je váš prohlížeč nainstalovaný v jiném umístění nebo nepoužíváte Windows 10, zadejte cestu ke spustitelnému souboru prohlížeče.
    • Microsoft Edge: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
    • Google Chrome: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    • Mozilla Firefox: C:\Program Files\Mozilla Firefox\firefox.exe
  • V poli Argumenty zadejte možnost příkazového řádku, kterou prohlížeč používá k otevření v režimu InPrivate nebo Anonymní režim. Některé prohlížeče vyžadují adresu URL aplikace.
    • Microsoft Edge: Použijte -inprivate.
    • Google Chrome: Použijte --incognito --new-window {URL}, kde zástupný symbol {URL} je adresa URL k otevření (například https://localhost:5001).
    • Mozilla Firefox: Použijte -private -url {URL}, kde zástupný symbol {URL} je adresa URL k otevření (například https://localhost:5001).
  • Do pole Popisný název zadejte název. Například Firefox Auth Testing.
  • Vyberte tlačítko OK.
  • Pokud se chcete vyhnout výběru profilu prohlížeče pro každou iteraci testování pomocí aplikace, nastavte profil jako výchozí tlačítkem Nastavit jako výchozí .
  • Ujistěte se, že integrované vývojové prostředí (IDE) zavřel prohlížeč pro všechny změny aplikace, testovacího uživatele nebo konfigurace poskytovatele.

Upgrady aplikací

Funkční aplikace může selhat okamžitě po upgradu sady .NET Core SDK na vývojovém počítači nebo změně verzí balíčků v aplikaci. V některých případech můžou inkoherentní balíčky přerušit aplikaci při provádění hlavních upgradů. Většinu těchto problémů je možné vyřešit pomocí těchto pokynů:

1. Vymažte mezipaměti balíčků NuGet místního systému spuštěním dotnet nuget locals all --clear z příkazového prostředí.
2. Odstraňte složky a obj složky projektubin.
3. Obnovte a znovu sestavte projekt.
4. Před opětovným nasazením aplikace odstraňte všechny soubory ve složce nasazení na serveru.

Poznámka:

Použití verzí balíčků nekompatibilních s cílovou architekturou aplikace se nepodporuje. Informace o balíčku potřebujete pomocí galerie NuGet nebo Průzkumníka balíčků FuGet.

Server Spuštění aplikace

Při testování a řešení potíží s hostovaným Blazor WebAssemblyřešením se ujistěte, že aplikaci spouštíte z Server projektu.

Kontrola uživatele

Následující User komponentu lze použít přímo v aplikacích nebo sloužit jako základ pro další přizpůsobení.

User.razor:

@page "/user"
@attribute [Authorize]
@using System.Text.Json
@using System.Security.Claims
@inject IAccessTokenProvider AuthorizationService

<h1>@AuthenticatedUser?.Identity?.Name</h1>

<h2>Claims</h2>

@foreach (var claim in AuthenticatedUser?.Claims ?? Array.Empty<Claim>())
{
    <p class="claim">@(claim.Type): @claim.Value</p>
}

<h2>Access token</h2>

<p id="access-token">@AccessToken?.Value</p>

<h2>Access token claims</h2>

@foreach (var claim in GetAccessTokenClaims())
{
    <p>@(claim.Key): @claim.Value.ToString()</p>
}

@if (AccessToken != null)
{
    <h2>Access token expires</h2>

    <p>Current time: <span id="current-time">@DateTimeOffset.Now</span></p>
    <p id="access-token-expires">@AccessToken.Expires</p>

    <h2>Access token granted scopes (as reported by the API)</h2>

    @foreach (var scope in AccessToken.GrantedScopes)
    {
        <p>Scope: @scope</p>
    }
}

@code {
    [CascadingParameter]
    private Task<AuthenticationState> AuthenticationState { get; set; }

    public ClaimsPrincipal AuthenticatedUser { get; set; }
    public AccessToken AccessToken { get; set; }

    protected override async Task OnInitializedAsync()
    {
        await base.OnInitializedAsync();
        var state = await AuthenticationState;
        var accessTokenResult = await AuthorizationService.RequestAccessToken();

        if (!accessTokenResult.TryGetToken(out var token))
        {
            throw new InvalidOperationException(
                "Failed to provision the access token.");
        }

        AccessToken = token;

        AuthenticatedUser = state.User;
    }

    protected IDictionary<string, object> GetAccessTokenClaims()
    {
        if (AccessToken == null)
        {
            return new Dictionary<string, object>();
        }

        // header.payload.signature
        var payload = AccessToken.Value.Split(".")[1];
        var base64Payload = payload.Replace('-', '+').Replace('_', '/')
            .PadRight(payload.Length + (4 - payload.Length % 4) % 4, '=');

        return JsonSerializer.Deserialize<IDictionary<string, object>>(
            Convert.FromBase64String(base64Payload));
    }
}

Kontrola obsahu webového tokenu JSON (JWT)

K dekódování webového tokenu JS(JWT) použijte nástroj microsoftu jwt.ms . Hodnoty v uživatelském rozhraní nikdy neopustí prohlížeč.

Příklad kódovaného JWT (zkrácený pro zobrazení):

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ilg1ZVhrNHh5b2pORnVtMWtsMll0djhkbE5QNC1j ... bQdHBHGcQQRbW7Wmo6SWYG4V_bU55Ug_PW4pLPr20tTS8Ct7_uwy9DWrzCMzpD-EiwT5IjXwlGX3IXVjHIlX50IVIydBoPQtadvT7saKo1G5Jmutgq41o-dmz6-yBMKV2_nXA25Q

Příklad dekódování JWT nástrojem pro aplikaci, která se ověřuje v Azure AAD B2C:

{
  "typ": "JWT",
  "alg": "RS256",
  "kid": "X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk"
}.{
  "exp": 1610059429,
  "nbf": 1610055829,
  "ver": "1.0",
  "iss": "https://mysiteb2c.b2clogin.com/5cc15ea8-a296-4aa3-97e4-226dcc9ad298/v2.0/",
  "sub": "5ee963fb-24d6-4d72-a1b6-889c6e2c7438",
  "aud": "70bde375-fce3-4b82-984a-b247d823a03f",
  "nonce": "b2641f54-8dc4-42ca-97ea-7f12ff4af871",
  "iat": 1610055829,
  "auth_time": 1610055822,
  "idp": "idp.com",
  "tfp": "B2C_1_signupsignin"
}.[Signature]

Další materiály

• Konfigurace domény vydavatele aplikace
• Manifest aplikace Microsoft Entra ID: atribut identifierUris
• Další scénáře zabezpečení ASP.NET Core Blazor WebAssembly
• Sestavení vlastní verze knihovny Authentication.MSAL JavaScript
• Neověřené nebo neoprávněné požadavky webového rozhraní API v aplikaci se zabezpečeným výchozím klientem
• Cloudové ověřování pomocí Azure Active Directory B2C v ASP.NET Core
• Kurz: Vytvoření tenanta Azure Active Directory B2C
• Kurz: Registrace aplikace v Azure Active Directory B2C
• Dokumentace k platformě Microsoft Identity Platform