Как получить токен для последующей службы в AAD

Question

У меня есть приложение MVC, в котором я использую OpenIdConnectAuthenticationMiddleware для аутентификации пользователя с AAD. Это приложение MVC использует несколько бэкэнд-сервисов, которые требуют контекста аутентификации пользователя.

Если я зарегистрирую эти службы отдельно в AAD, я могу получить токен для них, используя AuthenticationContext.AcquireTokenSilentAsync. Но регистрация этих сервисов отдельно с AAD кажется неправильной, поскольку они требуют от пользователя согласия на них отдельно (они действительно являются частью приложения).

Итак, я хотел бы использовать токен JWT, который я получил от AAD, когда пользователь аутентифицировался и использовал его как токен-носитель для вызова служб нисходящего потока. Я понимаю, что эти службы должны иметь ту же аудиторию, что и приложение MVC.

Но как я могу получить этот токен JWT. Первый идентификатор ClaimPrincipal не имеет контекста начальной загрузки.

Answer 1

Обратите внимание, что если ваши службы допускают токены с одинаковой аудиторией, вы можете перейти к атакам пересылки токенов. Я бы не рекомендовал этого. Кроме того, согласие должно выполняться на одной странице и одним щелчком мыши - следовательно, с точки зрения воздействия пользователя на самом деле нет большой разницы. Это сказано. Если вы действительно настроены в нем, вы можете обеспечить наличие токена в bootstrapcontext, переключив true на флаг SaveSignInToken. См.

app.UseOpenIdConnectAuthentication(
      new OpenIdConnectAuthenticationOptions 
      { 
       ClientId = clientId, 
       Authority = authority, 
       TokenValidationParameters = new System.IdentityModel.Tokens.TokenValidationParameters{SaveSigninToken=true}, 
       PostLogoutRedirectUri = postLogoutRedirectUri 
      }); 

Answer 2

Редактировать Ниже приведен один из способов достижения этого, но он имеет некоторые последствия для безопасности. Существует также флаг, который вы можете установить для использования контекста начальной загрузки. Пожалуйста, см. Ответ вибронета для большего.

В OpenIdConnectAuthenticationOptions, если вы настроите обработчик уведомлений SecurityTokenValidated или AuthorizationCodeRecieved, вы можете получить доступ к id_token в свойствах уведомления. Затем вы можете использовать этот id_token как токен-носитель в своих вызовах службы. Существует несколько разных способов сделать этот id_token доступным в ваших контроллерах.

Одно предостережение: id_token будет иметь clientId вашего веб-приложения в качестве требования аудита, а не идентификатор приложения uri. Поэтому в ваших сервисах вы должны использовать clientId guid как свою аудиторию.