AADSTS50011：请求中指定的回复 url 与为应用程序配置的回复 url 不匹配：'<AppId>'

Question

我有一个 .NET Core 2 应用模板，该模板配置为使用开箱即用的 Azure AD。

配置是：

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "Domain": "lautaroarinolive.onmicrosoft.com",
    "TenantId": "67cb2dfd-ebd5-40d8-829b-378340981a17",
    "ClientId": "50819a7a-e018-4c1d-bf0a-18c8fce5c600",
    "CallbackPath": "/signin-oidc"
  },
  "Logging": {
    "IncludeScopes": false,
    "LogLevel": {
      "Default": "Warning"
    }
  }
}

在我的门户中，我有一个 Azure 应用注册，其 ID 与 ClientId 相同。回复网址为[APP-URL]/signin-oidc。

只有在我将回复 URL 设置为 [LocalhostURL]/signin-oidc 时，localhost 应用程序才能工作，即使我已经了解到该配置不应影响在 localhost 上的登录。

Azure 应用在任何情况下都不起作用。

在这两个应用程序中，当它不起作用时，我收到此错误：

AADSTS50011：请求中指定的回复 url 与 为应用程序配置的回复 url： '50819a7a-e018-4c1d-bf0a-18c8fce5c600'

1. localhost 应用不需要配置回复 URL 是否正确？

2. 为什么会出现“未配置回复 url”错误？

Answer 1

对我来说唯一的解决方案：在 Azure 门户 https://portal.azure.com 中，导航到“应用程序注册”-> 选择您的应用程序 -> 从左侧边栏菜单中选择“身份验证”-> “移动和桌面应用程序”重定向 URIs ->并单击“添加 URI”-> 键入以下内容

ms-appx-web://microsoft.aad.brokerplugin/{Your_Application's_Client_ID}

示例：ms-appx-web://microsoft.aad.brokerplugin/5r3257qe-7jci-3501-38k0-3791h90542m7

Answer 2

在您的 Microsoft 登录页面中检查您的重定向 uri

redirect_uri=https://localhost:8443/login&response_type=code&scope=openid%20profile&state=7GsiHb

并确保您在已注册的应用程序（Active Directory -> 应用程序注册 -> 您的应用程序）中添加了相同的 URI 以重定向 URI 列表。如其他答案中所述，可能需要将支持的帐户类型更改为“多个组织”。

Answer 3

刚刚遇到同样的错误。我的应用程序是一个 .NET 5 ASP.NET Core 应用程序，在 Web 应用程序内部的 Linux docker 容器中运行。使用 Fiddler 进行故障排除表明，在对 login.microsoft.com 的调用中，redirect_uri 查询字符串变量的值以“http://”而不是“https://”开头，正如我所期望的那样，尽管我尝试强制执行 TLS - 仅在网络应用程序本身上。这导致了 URL 不匹配和错误 AADSTS50011。

在 Web 应用上设置环境变量 ASPNETCORE_FORWARDEDHEADERS_ENABLED=true 已解决此问题。 Microsoft 已在此处记录：https://devblogs.microsoft.com/aspnet/forwarded-headers-middleware-updates-in-net-core-3-0-preview-6/

Answer 4

您可以参考this Sample 重新构建您的 .NET core App 并发布到 Azure。

有一些注意事项需要注意：

1. 您需要将端口从 5000 更改为有效端口。目前应该是 61659。因此，当您在 localhost 中进行测试时，您可以在 AAD 应用程序中将回复 URL 设置为 http://localhost:61659/signin-oidc

2. 如果您将应用程序配置为生产使用，或者如果您将应用程序发布到 Azure Web 应用程序，则更新这些 URL，您应该将应用程序配置文件和 AAD 应用程序中的回复 URL 更改为 <AppURL>/signin-oidc

例如，https://www.contoso.com/signin-oidc 或 https://Myapp.azurewebsites.net/signout-oidc。

Answer 5

如果你使用 React-Native。可以查看门户网站：https://portal.azure.com/。

iOS：{YOUR_BUNDLE_IDENTIFIER}://{YOUR_BUNDLE_IDENTIFIER}/ios/callback

Android：{YOUR_APP_PACKAGE_NAME}://{YOUR_APP_PACKAGE_NAME}/android/callback

请参考下图。

enter image description here

Answer 6

如果您从 AAD 登录，则应使用 app-base-url/sigin-aad。

Answer 7

小事，但在 Web 租户中，在自定义域设置中 HTTPS Only 选项应根据站点使用的 URL 打开。我遇到了同样的问题，在登录时，redrect_uri=http://sitename 被连接而不是 https。启用此选项解决了我的身份验证问题。

Answer 8

在某些情况下，天蓝色会在 url 上使用“www”，即使您在没有“www”的情况下指定门户网站上的 url。在 redirectUri 变量中使用“https://www.mysite.co/signin-oidc”而不是“https://mysite.co/signin-oidc”。

Answer 9

确保services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1); 必须低于身份验证配置。

services.AddAuthentication(options =>
{
    options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
    options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
    options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
})
.AddOpenIdConnect(options =>
{
    options.Authority = "";
    options.ClientId = "";
    options.ResponseType = OpenIdConnectResponseType.IdToken;
    options.CallbackPath = "";
    options.SignedOutRedirectUri = "";
    options.TokenValidationParameters.NameClaimType = "name";
})
.AddCookie();

由于在AddAuthentication() 扩展方法之前添加了AddMvc()，我遇到了同样的错误。

Answer 10

我在 .NET 4.6.1 Web 应用程序中遇到了类似的问题。 我必须在 Azure 中为我的应用配置回复 URL，类似于接受的答案，但是回调 url 不同。

Select Azure Active Directory -> App Registrations -> <your app>
Select Settings -> Reply URLs

添加您的应用 URL + '/.auth/login/aad/callback' 例如： https://somesite.azurewebsites.net/.auth/login/aad/callback