当我只需要为每个缓存存储一个令牌时实现 TokenCache

Question

我有一个应用程序旨在读取来自多个租户的租户数据，这需要管理员同意。所以我只需要为每个租户从AquireTokenByAuthorizationCodeAsync() 存储一个访问令牌和一个刷新令牌。所以我想，如果我在这种场景下实现一个TokenCache扩展，是否有必要实现TokenCache.AfterAccess和TokenCache.BeforeAccess？此外，当使用AquireTokenAsync() 时，缓存位是被获取的新令牌覆盖还是只是附加到它上面？如果我想覆盖旧令牌，我可以简单地使用TokenCache.BeforeWrite 来清除旧缓存吗？

基本上，这就是我的想法：

public class ADALTokenCache : TokenCache
{
    public Guid TenantId;

    public ADALTokenCache(Guid tenantId) : base()
    {
        TenantId = tenantId;
        using (var dbContext = new MyDbContext())
        {
            byte[] cache = dbContext.TokenCacheSet.FirstOrDefault(c => c.TenantId == TenantId);
            if (cache != null)
            {
                Deserialize(MachineKey.Unprotect(cache, "ADALCache"));
            }
        }
    }


    void BeforeWriteNotification(TokenCacheNotificationArgs args)
    {
        //Could I call Clear() here so that only
        //the new token from AquireTokenAsync() is written?
    }
}

Answer 1

回答您的问题

• 示例中的缓存之所以如此，是因为可能有多个用户登录到应用程序。顺便说一句，即使这是不同租户中的同一用户（身份可能不同），情况也会如此。您在 Custom token cache serialization in Web applications / Web API 中有实施示例
• 确实，当AcquireTokenSilentAsync 刷新令牌时，它将覆盖缓存中的前一个令牌。

但是，退后一步

• 如果我理解正确，在您的场景中，您的应用程序不是要获取令牌来访问给定用户的数据，而是要访问租户数据（对于用户所属的租户？），然后定期做一些操作。

• 如果您有一个守护程序应用程序（但多租户）不是更合适吗？因此您可能想要使用client credentials flow 而不是authorization code flow。 由于您使用的是 ADAL（V1 端点），您可以在 Azure 门户中预先同意该应用程序吗？您不需要登录任何用户？客户端凭据流页面包含指向守护程序应用程序的 ADAL 示例的链接。

• 您可能还想看看active-directory-dotnet-daemon-v2，它似乎与您的场景非常接近（但对于 Azure AD V2 端点）。不过，它很容易转置到 Azure AD V1 端点，或者您仍然可以按原样使用示例，但将接受的权限限制为仅一组租户。