我的 AAD 身份验证回复网址有什么问题？

Question

我正在尝试在我的应用程序中使用 AAD 身份验证，当我在 VS 中本地运行它并且我可以登录时它工作正常，但是当我将它发布到 azure appservice 并尝试访问应用程序时，我收到错误消息回复 URL 不匹配。

这是我的 appsettings.json 部分

 "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "Domain": "xxxxx.me",
    "TenantId": "xxxxx",
    "ClientId": "xxxx",
    "CallbackPath": "/signin-oidc",
    "ClientSecret": "xxxxx",
    "AppIDURL": "https://xxxxx.me/yyyyyBackend",
    "ConfigView": "MVC"

在应用注册中，我添加了回复 URL，它是来自 appservice 的应用 URL，我也添加了

https://xxxxx.me/yyyyyBackend/signin-oidc

但两者都不起作用，所以我现在有点困惑

我需要添加另一个回复 URL 吗？

* 编辑 *

在使用 fiddler 并在应用程序尝试进​​行身份验证时查看回调 URL 后，结果发现它发送了以下重定向 URL

https://xxx.azurewebsites.net/.auth/login/aad/callback

在我的项目中没有指定 /.auth/login/aad/callback 并且如果我在 VS 中搜索整个项目，该字符串不会出现在任何地方，所以我完全不知道为什么它会发送该字符串重定向网址？它永远不会起作用，因为我的代码中没有任何地方

将该 URL 添加到我在 appservice 中的回复 URL 后，我在部署时收到以下错误消息

You do not have permission to view this directory or page.

Answer 1

根据您的描述，我假设您正在使用 OpenID Connect 中间件从 AAD 租户登录用户，这里是详细教程Integrating Azure AD into an ASP.NET Core web app。为了在本地运行，您可以为您的 AAD 应用添加以下回复 url：

http(s)://localhost:{port}/signin-oidc

部署到 azure web 应用程序时，您可能还需要添加以下 URL，正如 Wayne Yang - MSFT 评论的那样：

https://{your-webapp-name}.azurewebsites.net/signin-oidc

在使用 fiddler 并在应用程序尝试进​​行身份验证时查看回调 URL 后，结果发现它发送了以下重定向 URL

https://xxx.azurewebsites.net/.auth/login/aad/callback

根据您的更新，您还启用了内置的 Authentication and authorization in Azure App Service，它可以帮助您通过在 MVC 应用程序中编写最少或不编写代码来登录用户和访问数据。对于您的情况，由于您在应用中使用了 OpenID Connect 中间件进行身份验证，因此您需要禁用 App Service Authentication，否则可能会遇到意外错误。

另外，为了解决详细错误，您可以Enable diagnostics logging for web apps in Azure App Service。