具有Azure Active Directory身份验证票证寿命的Microsoft.Owin.Security.OpenIdConnect
贝诺瓦·帕特拉
我正在构建一个多租户Web应用程序,该应用程序在此示例之后使用Microsoft.Owin.Security.OpenIdConnect,版本= 3.0.0.0和Azure Active Directory与Microsoft.IdentityModel.Clients.ActiveDirectory,版本= 2.19.0.0连接Office 365服务。
我们的Web应用程序客户端(用户代理)使用asp.NET cookie验证到我们的服务器,而我们的服务器和授权服务器(此处为Azure AD)之间的验证是使用OpenID授权代码流进行的。
我们为Asp.NET Cookie设置了30天的滑动到期期限。但是,即使将UseTokenLifetime = true设置为True(这应该与两种身份验证机制的生存期匹配),我们仍然无法从Authority Server获得AuthenticationTicket 。
我们面临的问题是:我们的最终用户必须频繁地重新登录(少于一小时)。然后的问题是,我们如何在这种owin openidconnect中间件中增加/更改身份验证票证的寿命?
备注:我还发布了有关ADAL使用刷新令牌的问题。据我们了解,该问题仅与身份验证有关。由ActiveDirectory客户端管理的授权问题access_token和refresh_token的生存期与此问题无关。如果我错了,请纠正我。
Startup.Auth.cs
public partial class Startup
{
public const string CookieName = ".AspNet.MyName";
public const int DayExpireCookie = 30;
public void ConfigureAuth(IAppBuilder app)
{
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
var cookieAuthenticationOptions = new CookieAuthenticationOptions()
{
CookieName = CookieName,
ExpireTimeSpan = TimeSpan.FromDays(DayExpireCookie),
AuthenticationType = CookieAuthenticationDefaults.AuthenticationType,
SlidingExpiration = true,
};
app.UseCookieAuthentication(cookieAuthenticationOptions);
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
ClientId = SettingsHelper.ClientId,
Authority = SettingsHelper.Authority,
ClientSecret = SettingsHelper.AppKey,
UseTokenLifetime = true,
TokenValidationParameters = new System.IdentityModel.Tokens.TokenValidationParameters
{
ValidateIssuer = false
},
Notifications = new OpenIdConnectAuthenticationNotifications()
{
// If there is a code in the OpenID Connect response, redeem it for an access token and refresh token, and store those away.
AuthorizationCodeReceived = (context) =>
{
var code = context.Code;
string tenantID = context.AuthenticationTicket.Identity.FindFirst("http://schemas.microsoft.com/identity/claims/tenantid").Value;
string signInUserId = context.AuthenticationTicket.Identity.FindFirst(ClaimTypes.NameIdentifier).Value;
AuthenticationContext authContext = new AuthenticationContext(string.Format("{0}/{1}", SettingsHelper.AuthorizationUri, tenantID), new ADALTokenCache(signInUserId));
ClientCredential credential = new ClientCredential(SettingsHelper.ClientId, SettingsHelper.AppKey);
// Get the access token for AAD Graph. Doing this will also initialize the token cache associated with the authentication context
// In theory, you could acquire token for any service your application has access to here so that you can initialize the token cache
Uri redirectUri = new Uri(HttpContext.Current.Request.Url.GetLeftPart(UriPartial.Path));
AuthenticationResult result = authContext.AcquireTokenByAuthorizationCode(code, redirectUri, credential, SettingsHelper.AADGraphResourceId);
return Task.FromResult(0);
},
RedirectToIdentityProvider = (RedirectToIdentityProviderNotification<OpenIdConnectMessage, OpenIdConnectAuthenticationOptions> context) =>
{
string appBaseUrl = context.Request.Scheme + "://" + context.Request.Host + context.Request.PathBase;
context.ProtocolMessage.RedirectUri = appBaseUrl + SettingsHelper.LoginRedirectRelativeUri;
context.ProtocolMessage.PostLogoutRedirectUri = appBaseUrl + SettingsHelper.LogoutRedirectRelativeUri;
return Task.FromResult(0);
},
AuthenticationFailed = (context) =>
{
context.HandleResponse();
return Task.FromResult(0);
}
}
});
}
}
客户总监
public class AccountController : Controller
{
public void SignIn()
{
var dateTimeOffset = DateTimeOffset.UtcNow;
var authenticationProperties = new AuthenticationProperties
{
AllowRefresh = true,
IssuedUtc = dateTimeOffset,
ExpiresUtc = dateTimeOffset.AddDays(Startup.DayExpireCookie -1),
RedirectUri = SettingsHelper.LoginRedirectRelativeUri, IsPersistent = true
};
HttpContext.GetOwinContext()
.Authentication.Challenge(authenticationProperties,OpenIdConnectAuthenticationDefaults.AuthenticationType, CookieAuthenticationDefaults.AuthenticationType);
}
public void SignOut()
{
HttpContext.GetOwinContext().Authentication.SignOut(
new AuthenticationProperties { RedirectUri = SettingsHelper.LogoutRedirectRelativeUri, },
OpenIdConnectAuthenticationDefaults.AuthenticationType, CookieAuthenticationDefaults.AuthenticationType);
}
}
贝诺瓦·帕特拉
实际上,我需要设置UseTokenLifetime = false。确实,UseTokenLifetime = true将Asp.NET Cookie中的内部票证更改为默认的生存期access_token为一小时。@Tratcher的评论是真实的,但误导了我...是的,access_token生命周期受Azure AD控制,对此我无能为力。但是,我们refresh_token使用ADAL.NET实施了管理,因此可以将Microsoft Identity Server的身份验证/授权保留一个多小时。现在,设置UseTokenLifetTime = false和使用cookie身份验证以及在客户端应用程序和服务器之间的有效期有15天的有效期滑动,现在就像一个魅力。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
编辑于
相关文章
TOP 榜单
- 1
Linux的官方Adobe Flash存储库是否已过时?
- 2
如何使用HttpClient的在使用SSL证书,无论多么“糟糕”是
- 3
错误:“ javac”未被识别为内部或外部命令,
- 4
Modbus Python施耐德PM5300
- 5
为什么Object.hashCode()不遵循Java代码约定
- 6
如何正确比较 scala.xml 节点?
- 7
在 Python 2.7 中。如何从文件中读取特定文本并分配给变量
- 8
在令牌内联程序集错误之前预期为 ')'
- 9
数据表中有多个子行,asp.net核心中来自sql server的数据
- 10
VBA 自动化错误:-2147221080 (800401a8)
- 11
错误TS2365:运算符'!=='无法应用于类型'“(”'和'“)”'
- 12
如何在JavaScript中获取数组的第n个元素?
- 13
检查嵌套列表中的长度是否相同
- 14
如何将sklearn.naive_bayes与(多个)分类功能一起使用?
- 15
ValueError:尝试同时迭代两个列表时,解包的值太多(预期为 2)
- 16
ES5的代理替代
- 17
在同一Pushwoosh应用程序上Pushwoosh多个捆绑ID
- 18
如何监视应用程序而不是单个进程的CPU使用率?
- 19
如何检查字符串输入的格式
- 20
解决类Koin的实例时出错
- 21
如何自动选择正确的键盘布局?-仅具有一个键盘布局
我来说两句