通过 Google 或 Twitter 授权 .net 用户应用程序

Question

我的问题是[类似于这个1，但使用第三方提供商而不是活动目录。

我有一个最终用户 UWP 应用，我想使用我的 Azure API 应用。我不是 Azure 移动应用程序，它是客户端 SDK。

大多数文档都属于“复制粘贴此魔术代码”，从不解释身份验证的实际发生方式。

我正在检查移动应用 SDK，因为 Microsoft 的文档说它是 auth。过程是一样的。 据我所见，移动 App SDK 打开一个与WebAuthenticationBroker 生成的非常相似的网络视图。然后对服务器的每个请求都伴随着一个标头 X-ZUMO-AUTH 和一个令牌。看来此令牌是由 azure app 服务颁发的，而不是原始提供者。它比 Twitter 或 Google 发行的代币要长得多。 同时，当我将网络浏览器指向端点并进行登录过程时，我看到浏览器正在使用 Cookie：ARRAffinity=c4b66198677464de573103f7aa267c33ea38617020514011cea4506e0a55d9d0; AppServiceAuthSession=EIVymV

问题：

1. 问题是移动应用程序文档只是提供 有关如何使用 SDK 的说明。我不清楚我会如何 获取应用服务颁发的令牌。

2. 每个人都知道如何为 Google 获取访问令牌 和推特。它们可以用来访问 Azure API 应用吗？

Answer 1

API 应用使用与移动应用相同的内置身份验证是正确的。基本流程如下所示：

1. 使用提供商凭据登录应用程序。这可以使用提供商的 SDK 使用客户端导向的流程来完成，也可以使用涉及浏览器弹出窗口（即您提到的 Web 视图）的服务器导向的流程来完成。在后一种情况下，/.auth/login/ 处有一个端点，由应用服务提供并管理您的应用的登录流程。
2. 应用服务将使用会话令牌 (JWT) 响应您的客户端应用。
3. 您使用来自 #2 的会话令牌调用您的 API。它通过 x-zumo-auth HTTP 请求标头传递（由于遗留原因，它以这种方式命名）。

您看到的 AppServiceAuthSession cookie 是您使用浏览器进行身份验证时的会话 cookie。 ARRAffinity 是 App Service 使用的内部路由 cookie，与 auth 无关。

如果您正在寻找有关内置应用服务身份验证/授权如何工作的更多内部技术细节，请查看我的博客，从这篇文章开始：http://cgillum.tech/2016/02/01/architecture-of-azure-app-service-authentication-authorization/