Сценарий:CORS предполетной запрос отвечает 302 редирект в Azure Hosted Web API
Я два веб-приложения ASP.NET размещается отдельно на Windows Azure и оба связаны с тем же Azure Справочник жильца Активный:
Приложение MVC с интерфейсом AngularJS SPA и библиотекой adal.js для обработки аутентификации Azure AD на клиенте.
Веб-API с промежуточным программным обеспечением Microsoft OWIN для обработки аутентификации Azure AD на сервере.
Проблема:
Когда угловые бутстрап клиентское приложение, страница загружается правильно после прохождения через OAuth перенаправляет к соответствующему органу идентичности, а adal.js библиотека правильно извлекает и хранит различные маркеры для каждого приложения (проверено путем проверки вкладки Ресурсы/Сессия-хранилище в инструментах Chrome dev). Но когда клиентское приложение пытается получить доступ или изменить какие-либо данные в API, предполетной запросы CORS реагируют с 302 перенаправляет удостоверения органа, что приводит к следующей ошибке в консоли:
XMLHttpRequest не может загрузить https://webapi.azurewebsites.net/api/items , Запрос был перенаправлен на 'https://login.windows.net/ {власти-справ}/OAuth2/авторизовать? Response_type = id_token & redirect_uri = .... etc..etc ..', который запрещенную для запросов кросс происхождения, которые требуют предполетный.
Пример заголовки (анонимный):
Request OPTIONS /api/items HTTP/1.1 Host: webapi.azurewebsites.net Connection: keep-alive Access-Control-Request-Method: GET Access-Control-Request-Headers: accept, authorization Origin: https://mvcapp.azurewebsites.net User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36 Accept: */* Referer: https://mvcapp.azurewebsites.net/ Response HTTP/1.1 302 Found Content-Length: 504 Location: https://login.windows.net/{authority-guid}/oauth2/authorize?response_type=id_token&redirect_uri=https%3A%2F%2F....etc..etc.%2F&client_id={api-guid}&scope=openid+profile+email&response_mode=form_post&state=...etc... Server: Microsoft-IIS/8.0 X-Powered-By: ASP.NET Set-Cookie: ARRAffinity=4f51...snip....redact....db6d;Path=/;Domain=webapi.azurewebsites.net
Что я сделал/пытался
- обеспечивших AD арендатор Azure позволяет OAuth2 неявного поток, как описан here и в других местах ,
- Убедитесь, что API exposes access permissions и что MVC/SPA registers for access использует эти разрешенные разрешения.
- Явно добавлен обработчик глагола OPTIONS в web.config API (см. Ниже).
- Используется различные комбинации включения CORS на сервере API, OWIN, а также с EnableCorsAttribute (см. Ниже).
Вопросы
Есть ли способ иметь Web API, связанный с Azure AD арендатором не перенаправляет на CORS предполетных запросах? Я пропустил некоторые настройки инициализации в библиотеке adal.js и/или в стартовом коде OWIN (см. Ниже)? Существуют ли настройки на портале Azure, которые разрешат запросы OPTIONS к конвейеру OWIN?
Соответствующий код: Инициализация
adal.js
angular.module("myApp", ["ngRoute", "AdalAngular"])
.config(["$routeProvider", "$locationProvider", "$httpProvider", "adalAuthenticationServiceProvider",
function ($routeProvider, $locationProvider, $httpProvider, adalProvider) {
$routeProvider.when("/", { // other routes omitted for brevity
templateUrl: "/content/views/home.html",
requireADLogin: true // restrict to validated users in the Azure AD tenant
});
// CORS support (I've tried with and without this line)
$httpProvider.defaults.withCredentials = true;
adalProvider.init({
tenant: "contoso.onmicrosoft.com",
clientId: "11111111-aaaa-2222-bbbb-3333cccc4444", // Azure id of the web app
endpoints: {
// URL and Azure id of the web api
"https://webapi.azurewebsites.net/": "99999999-zzzz-8888-yyyy-7777xxxx6666"
}
}, $httpProvider);
}
]);
Owin инициализации промежуточного
public void ConfigureAuth(IAppBuilder app)
{
// I've tried with and without the below line and also by passing
// in a more restrictive and explicit custom CorsOptions object
app.UseCors(CorsOptions.AllowAll);
app.UseWindowsAzureActiveDirectoryBearerAuthentication(
new WindowsAzureActiveDirectoryBearerAuthenticationOptions
{
TokenValidationParameters = new TokenValidationParameters
{
// Azure id of the Web API, also tried the client app id
ValidAudience = "99999999-zzzz-8888-yyyy-7777xxxx6666"
},
Tenant = "contoso.onmicrosoft.com"
}
);
// I've tried with and without this
app.UseWebApi(GlobalConfiguration.Configuration);
}
инициализации WebApiConfig
public static void Register(HttpConfiguration config)
{
// I've tried with and without this and also using both this
// and the OWIN CORS setup above. Decorating the ApiControllers
// or specific Action methods with a similar EnableCors attribute
// also doesn't work.
var cors = new EnableCorsAttribute("https://mvcapp.azurewebsites.net", "*", "*")
{
cors.SupportsCredentials = true // tried with and without
};
config.EnableCors(cors);
// Route registration and other initialization code removed
}
API OPTIONS регистрация обработчика глагола
<system.webServer>
<handlers>
<remove name="ExtensionlessUrlHandler-Integrated-4.0" />
<remove name="OPTIONSVerbHandler" />
<remove name="TRACEVerbHandler" />
<add name="OPTIONSHandler" path="*" verb="OPTIONS" modules="IsapiModule" scriptProcessor="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_isapi.dll" />
<add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
</handlers>
</system.webServer>
Близкие по теме ресурсы
На том или иной момент я пробовал только о всех мыслимых комбинациях вещей из следующих (и многих других) на форум и в блогах и пример кода github.
- ADAL JavaScript and AngularJS – Deep Dive
- Secure ASP.NET Web API 2 using Azure Active Directory, Owin Middleware, and ADAL
- Token Based Authentication using ASP.NET Web API 2, Owin, and Identity
- AzureADSamples/SinglePageApp-DotNet (github)
- AngularJSCORS (github)
- How to make CORS Authentication in WebAPI 2?
- AngularJS and OWIN Authentication on WebApi
Вы когда-нибудь решали эту проблему? Я застрял на 302 и попробовал все, чтобы обойти это. Я удалил все и начал много раз. Любая помощь, которую вы можете предоставить, будет очень признательна. –
@ IsaacLevin, 302 был разрешен, как описано выше. Последующие 405 также были решены не слишком долго, но я, честно говоря, не помню, что это за решение. – Bryan
Есть ли шанс, что вы можете предоставить свое решение в Git, а также экраны вашего экрана Azure? Я понимаю, если это слишком много, чтобы просить, но я нахожусь здесь на своем пути :) –