c# - 如何诊断 Microsoft 身份验证失败？

问题描述

我有一个受 Azure 身份验证保护的 ASP.NET Core 3.1 Web API 应用程序。我还有一个调用 Web API 的 Angular 11 应用程序。

它们在我们的集成环境中运行良好。但在测试环境中身份验证失败。

Angular 应用程序使用 msal-angular 库进行了很好的身份验证，它获取访问令牌并在调用 Web API 时包含它。但是 Web API 无法从不记名令牌中检索身份。

在多次删除并重新创建（前端和后端）Azure APP 注册并重新配置它们后，身份验证仍然失败。我不知道是什么原因，所以这就是为什么我需要诊断它。

我已启用JwtBearerMiddlewareDiagnosticsEvents，并且可以在日志中看到“Begin OnAuthenticationFailedAsync”和“End OnAuthenticationFailedAsync”。但这还不够信息。它不再告诉您事件已引发，也没有其他信息。

我已阅读以下有关文档的文章，该文章告诉您如何在 MSAL.NET 中配置日志记录，但我认为它不适用于 Web API。

https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-logging-dotnet

所以问题是：我怎样才能找出身份验证失败的原因？有没有办法记录原因？

更新：

我更近了，我将日志级别设置为跟踪，现在我在 asp.net core web api 应用程序的日志中看到以下内容：

IDX10511：签名验证失败。尝试的键：'[PII 被隐藏。有关更多详细信息，请参阅 https://aka.ms/IdentityModel/PII.]'。\nkid: '[PII 被隐藏。有关更多详细信息，请参阅 https://aka.ms/IdentityModel/PII。]

更新：

我收到以下错误：

承载未通过身份验证。失败消息：IDX10214：观众验证失败。观众：'242e8f40-d795-43bc-8ac8-8eed3df71745'。不匹配：validationParameters.ValidAudience: 'b99e89fc-8a1c-4605-8c18-796d7064037e' 或 validationParameters.ValidAudiences: 'null'。

'242e8f40-d795-43bc-8ac8-8eed3df71745' 是 Web api 应用程序注册清单上的 AppId。

'b99e89fc-8a1c-4605-8c18-796d7064037e' 是 Web api 注册的客户端 ID。

范围是'api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access'。

这就是我设置范围的方式：

export function MSALInterceptorConfigFactory(): MsalInterceptorConfiguration {
  const protectedResourceMap = new Map<string, Array<string>>();
  protectedResourceMap.set('https://api.example.com/*', ['api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access']);
  return {
    interactionType: InteractionType.Popup,
    protectedResourceMap
  };
}

export function MSALGuardConfigFactory(): MsalGuardConfiguration {
  return {
    interactionType: InteractionType.Popup,
    authRequest: {
      scopes: ['api://242e8f40-d795-43bc-8ac8-8eed3df71745/api-access']
    },
    loginFailedRoute: '/login-failed'
  };
}

标签： c#asp.net-coreauthenticationazure-active-directorymsal-angular