azure - 使用 Azure Active Directory 身份验证在 Linux 上重新启动 Azure 应用服务会重置 /.auth/me/
问题描述
我正在使用 Azure 应用服务身份验证/授权来限制对我的 Web 应用程序的访问,并使用 Azure Active Directory 作为登录方法。
我已将“请求未通过身份验证时采取的操作”设置为“使用 Azure Active Directory 登录”。
为了查找有关登录用户的详细信息,我向 /.auth/me 端点发出请求(如 Microsoft 文档中的说明所述)。这工作正常,直到应用程序在 Azure 中重新启动。重启后,/.auth/me/ 端点返回一个空数组,而不是用户信息。
如果应用服务计划运行 Linux,我只能重现该问题。如果我创建 Windows 应用服务计划,即使在重新启动后也会填充 /.auth/me 端点。
我尝试在 Azure 上创建一个新应用程序,但没有上传任何代码,但问题仍然存在。
我是否需要设置一些额外的设置才能在基于 Linux 的 ASP 上工作?我已经使用基于 docker 的 ASP 和基于代码(基于 dotnet core 2.2)进行了测试。
解决方案
我在他们的论坛上得到了微软的答复。正如@Tony 还发现的那样,这是因为处理 Linux 应用服务身份验证的中间件容器重新启动并丢失了它的令牌。中间件容器是在您使用 Linux 应用服务时在 Azure 中的代码旁边/前面运行的第二个容器,它处理所有 Auth 魔法(请参阅Jan Hajek 关于中间件容器的博客文章)
Microsoft 目前正在调查令牌丢失是一个潜在的错误,他们推荐的解决方法是使用“Blob 存储令牌存储”,这意味着 Azure 中间件容器会将令牌存储在 Blob 存储中而不是磁盘上,从而使它们保持重启.
实施:
- 在 azure 中创建一个 blob 存储(如果您还没有想要使用的存储)
- 创建仅具有私有访问权限的 blob 容器
在存储实例上创建共享访问签名。
- 授予它访问权限*:
- 允许的服务:Blob
- 允许的资源类型:容器、对象
- 允许的权限:读取、写入、列出、创建
- 为您的 SAS 设置开始/结束日期
- 生成 SAS 并复制“Blob 服务 SAS URL”
修改 SAS URL 以包含您的 Blob 容器名称。例如,如果您在步骤 2 中创建的容器名为"tokens",请从以下位置修改您的 SAS URL:
https://xxxxx.blob.core.windows.net/?sv=2018-03-28...
至https://xxxxx.blob.core.windows.net/tokens/?sv=2018-03-28...
- 授予它访问权限*:
- 转到您的 Web 应用程序并添加新的应用程序设置。为其命名
WEBSITE_AUTH_TOKEN_CONTAINER_SASURL
并为其提供修改后的 SAS URL 的值 - 转到您的网站并登录。现在应该在 blob 存储中创建一个令牌,并且在重新启动后也将使用该令牌。
- 如果它不能立即工作,请尝试在 Azure 中停止/启动 Web 应用程序。有关其他调试提示,请参阅上面的博客文章。
(*) 上面链接的博客文章指出 SAS 所需的权限较少,但我发现我还必须添加对象访问权限。
推荐阅读
- tensorflow - 我无法在 jupyterlab 中导入 tensorflow,尽管我可以在 anaconda 提示符中导入 tensorflow
- visual-studio-code - VS Code 不会解析 wsl 路径
- python - 如何修改PE文件头中的TimeDateStamp字段?
- javascript - 固定可滚动正文和标题的 Bootstrap 4 表
- javascript - 不可预测的行为 JavaScript
- android - 在不更改版本号的情况下更新 android 应用
- python - Pyinstaller 抛出“没有名为 multipart 的模块”、“没有名为 image 的模块”、“没有名为 text 的模块”、“没有名为 message 的模块”
- php - Wordpress 循环生成相同名称的列表元素,如果帖子编号较少,则查询
- python - 如何在虚拟环境中安装模块
- sql - 动态查询使用 2 个参数执行插入