同一控制器的不同类型的身份验证

Question

我有 WEB API CORE 3.0 后端应用程序。其控制器受 Azure AD 保护。 为此，我使用 microsoft identity 网络库。

在源代码中我是这样配置的：

        public void ConfigureServices(IServiceCollection services)
        {
            Trace.TraceInformation("Configuring services");
        services.AddProtectedWebApi(Configuration, subscribeToJwtBearerMiddlewareDiagnosticsEvents: true)
            .AddProtectedApiCallsWebApis(Configuration)
            .AddInMemoryTokenCaches();
...

为了保护控制器，我使用 [Authorize]。

一切都很完美。

现在我想添加第二种方式来授权用户（连同 Azure AD）。 我希望用户能够使用 Azure AD 或 JWT 登录。

是否可以为同一个控制器实现它？

Answer 1

是否可以更改现有的授权机制以允许非 AzureAD 用户使用控制器。

听起来您正在尝试使[Authorize] 同时允许多个身份验证方案。如果是这样的话，你应该先用AddAuthentication().AddMyScheme1().AddMyScheme2()...注册那些认证方案：

services.AddAuthentication()
    .AddAzureAD(options => Configuration.Bind("AzureAd", options));
    .AddJwtBearer(otps=>{
        otps.TokenValidationParameters = new TokenValidationParameters{ ...};
    });

然后更改默认授权策略以同时对这些身份验证方案进行身份验证。例如，如果您想同时允许 Identity/JwtBearer/AzureAd，您可以通过以下方式进行操作

services.AddAuthorization(opts =>{
    opts.DefaultPolicy = new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(
            IdentityConstants.ApplicationScheme     // ASP.NET Core Identity Authentication
            ,JwtBearerDefaults.AuthenticationScheme // JwtBearer Authentication
            // ,"AzureAD"                           // AzureAd Authentication
        )
        .RequireAuthenticatedUser()
        .Build();
});

或者，如果您想进一步只允许特定用户/角色，请随意自定义：

opts.DefaultPolicy = new AuthorizationPolicyBuilder()
    .AddAuthenticationSchemes(
        IdentityConstants.ApplicationScheme     // ASP.NET Core Identity Authentication
        ,JwtBearerDefaults.AuthenticationScheme // JwtBearer Authentication
        // ,"AzureAD"                           // AzureAd Authentication
    )
    .RequireAuthenticatedUser()
    .RequireRole(...)
    .RequireAssertion(ctx =>{
        ...
        return true_or_false;
    })
    .Build();