配置不同的授权/认证方案

Question

我正在 ASP.NET Core 1.0.1 应用程序上实现安全性，该应用程序用作 Web API。我正在尝试了解是否以及如何实施 2 种不同的身份验证方案。
理想情况下，我希望允许通过 Azure Active Directory 或通过用户名/密码对联系应用程序的特定后端服务进行身份验证。
是否可以为端点通过 Azure AD 或 JWT 令牌进行身份验证的设置配置 ASP.NET Core？

我尝试过这样的事情，但是在调用生成令牌端点时，我得到一个 500 并且完全没有任何信息。删除 Azure AD 配置可使端点完美运行：

services.AddAuthorization(configuration =>
{
    configuration.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)
        .RequireAuthenticatedUser().Build());

    configuration.AddPolicy("OpenIdConnect", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(OpenIdConnectDefaults.AuthenticationScheme)
        .RequireAuthenticatedUser().Build());
});

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
    ClientId = Configuration["Authentication:AzureAD:ClientId"],
    Authority 
        = Configuration["Authentication:AzureAd:AADInstance"] 
        + Configuration["Authentication:AzureAd:TenantId"],
    ResponseType = OpenIdConnectResponseType.IdToken,
    SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme
});

app.UseJwtBearerAuthentication(new JwtBearerOptions
{
    TokenValidationParameters = new TokenValidationParameters
    {
        ClockSkew = TimeSpan.FromMinutes(1),
        IssuerSigningKey = TokenAuthenticationOptions.Credentials.Key,
        ValidateAudience = true,
        ValidateIssuer = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidAudience = TokenAuthenticationOptions.Audience,
        ValidIssuer = TokenAuthenticationOptions.Issuer
     }
});

Answer 1

在添加授权策略和添加身份验证中间件时使用OpenIdConnectDefaults.AuthenticationScheme 常量。

你在这里使用OpenIdConnectDefaults。好的。保留那条线。

services.AddAuthorization(configuration =>
{
    ...

    configuration.AddPolicy("OpenIdConnect", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(OpenIdConnectDefaults.AuthenticationScheme) // keep
        .RequireAuthenticatedUser().Build());
 });

你在这里使用CookieAuthenticationDefaults。删除该行。

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
    ...

    SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme // delete
});

为什么？

当您的 OpenIdConnect 授权策略运行时，它将查找名为 OpenIdConnectDefaults.AuthenticationScheme 的身份验证方案。它不会找到一个，因为注册的 OpenIdConnect 中间件被命名为CookieAuthenticationDefaults.AuthenticationScheme。如果你删除了错误的行，那么代码将automatically use the appropriate default.

编辑：对样本的评论

第二个合理的解决方案

The linked sample application from the comments 调用services.AddAuthentication 并将SignInScheme 设置为“Cookies”。这会更改所有身份验证中间件的默认登录方案。结果：对app.UseOpenIdConnectAuthentication 的调用现在等同于：

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions 
{
    SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme
}

这正是卡米洛最初所拥有的。那么为什么我的回答有效呢？

我的回答奏效了，因为我们选择的SignInScheme 名称并不重要；重要的是这些名称是一致的。如果我们将 OpenIdConnect 身份验证登录方案设置为“Cookies”，那么在添加授权策略时，我们需要按名称询问该方案，如下所示：

services.AddAuthorization(configuration =>
{
    ...

    configuration.AddPolicy("OpenIdConnect", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(CookieAuthenticationDefaults.AuthenticationScheme) <----
        .RequireAuthenticatedUser().Build());
});

第三种合理的解决方案

为了强调一致性的重要性，这里有第三种合理的解决方案，它使用任意登录方案名称。

services.AddAuthorization(configuration =>
{
    configuration.AddPolicy("OpenIdConnect", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes("Foobar")
        .RequireAuthenticatedUser().Build());
});

你在这里使用CookieAuthenticationDefaults。删除该行。

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
    SignInScheme = "Foobar"
});