ASP.NET Web Forms 取得 Azure AD 使用者的 Token

前言

在 ASPX 中如何取得 Azure AD 使用者的 Token 呢?
當使用者按下登入時,跳轉到 Azure AD 登入頁,讓使用者輸入帳/密後,
轉回本系統驗證沒問題後,設定使用者登入(FormsAuthentication)

實作

1.註冊 App
要使用 Azure AD 登入要先在 Microsoft Entra ID 的 App registrations 新增一個 App,
並設定 Redirect URI。建立好之後,可以在Overview中看到需要的許多資訊,
Application (client) ID, Directory (tenant) ID
因為是 ASPX ,所以走 OAuth 2.0 Code Flow,需要 authorization endpointtoken endpoint
可以按下Endpoints就可以知道它們的 URL,如下,

2.secrets
取回 Token 需要有client_secret,所以到Certificates & secrets
建立一個Client secret,建立好之後要馬上將Value複制下來。

3.程式-轉址到 Azure AD 登入頁
當 App 準備完成後,就可以將 App 的資訊寫到設定檔中,讓程式呼叫使用。所以在 aspx.cs 中設定變數值如下,

1
2
3
4
5
6
private string _clientId = "你的clientId";
private string _clientSecret = "你的clientSecret";
private string _aadAuthEndpoint = $"https://login.microsoftonline.com/你的 authorize Endpoint";
private string _aadTokenEndpoint = "https://login.microsoftonline.com/你的 token Endpoint";
private string _redirectUri = @"https://你的程式Url";
private string[] _scopes = new string[] { "openid", "email", "profile" };

如果需要refresh_token, scopes可多加上offline_access

然後畫面的 Button 按下登入的 Click 事件中,要組出 Redirect 到 authorize 的 URL,如下,

1
2
3
4
var state = Guid.NewGuid().ToString();
Session["state"] = state;
string redirectURL = $"{_aadAuthEndpoint}?response_type=code&client_id={_clientId}&redirect_url={_redirectUri}&scope={string.Join(" ", _scopes)}&state={state}";
Response.Redirect(redirectURL);

state記在 Session 中等 Azure AD 登入完成後,轉址回來時,要驗證是否一致。

3.程式-接收 Azure AD 回傳的 Code
在 Page_Load 的 Get 時,判斷是否有statecode參數,
如果存在驗證state相同後,取得code,再透過code來取回Token資訊,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
protected void Page_Load(object sender, EventArgs e)
{
    Response.Write($"是否已登入:{User.Identity.IsAuthenticated}<hr>user:{User.Identity.Name}<hr>");
    if (!Page.IsPostBack)
    {
        string state = Request.QueryString["state"];
        if (!string.IsNullOrEmpty(state))
        {
            var apSate = (string)Session["state"];

            if (string.Compare(state, apSate) == 0)
            {
                //與先前建立的state相同才取得code參數值
                string code = Request.QueryString["code"];
                //透過 code 取回 token 並設定登入
                ProcLoginByCode(code);
            }
        }
        else
        {
            if (User.Identity.IsAuthenticated)
            {
                //aspx中的 label 元件,顯示 token 的 claims
                lblInfo.Text = string.Empty;
                ShowIdTokenClaims();
                ShowAccessTokenClaims();
            }
        }
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
private void ProcLoginByCode(string code)
{
    var postData = new Dictionary<string, string>
    {
        { "grant_type", "authorization_code" },
        { "client_id", _clientId},
        { "client_secret", _clientSecret},
        { "redirect_uri", _redirectUri },
        { "code", code}
    };

    var content = new FormUrlEncodedContent(postData);
    HttpClient client = new HttpClient();
    var response = client.PostAsync(_aadTokenEndpoint, content).Result;
    var data = response.Content.ReadAsStringAsync().Result;
    dynamic tokenObj = JsonConvert.DeserializeObject(data);
    //將id_token&access_token存到session
    Session["idToken"] = $"{tokenObj.id_token}";
    Session["accessToken"] = $"{tokenObj.access_token}";
    var idToken = new JwtSecurityToken($"{tokenObj.id_token}");
    var userName = idToken.Claims.FirstOrDefault(c => c.Type == "email").Value;
    FormsAuthentication.RedirectFromLoginPage(userName, false);
}

要顯示 Token 中 Claims 的內容,可以透過JwtSecurityToken

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
private void ShowIdTokenClaims()
{
    lblInfo.Text += "========== ID Token ==============<br>";
    var token = $"{Session["idToken"]}";
    if(!string.IsNullOrEmpty(token))
    {
        var jwt = new JwtSecurityToken(token);
        ResponseClaims(jwt.Claims);
    }
}

private void ShowAccessTokenClaims()
{
    lblInfo.Text += "========== Access Token ==============<br>";
    var token = $"{Session["accessToken"]}";
    if (!string.IsNullOrEmpty(token))
    {
        var jwt = new JwtSecurityToken(token);
        ResponseClaims(jwt.Claims);
    }
}

private void ResponseClaims(IEnumerable<Claim> claims)
{
    foreach (var claim in claims)
    {
        lblInfo.Text += $"{claim.Type}:{claim.Value}<br/>";
    }
}

如果要登入,則清空 Session 值並登出,如下,

1
2
3
4
5
Session["idToken"] = string.Empty;
Session["accessToken"] = string.Empty;
lblInfo.Text=string.Empty;
FormsAuthentication.SignOut();
Response.Redirect(_redirectUri);

參考資源

OAuth 2.0 - Authorization Code Flow
Microsoft 身分識別平台和 OAuth 2.0 授權碼流程

一言既出,駟馬難追: 一個人說出去的話,都要負責任,決不可中途變卦。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw