在基于docker compose的本地开发流程中,许多现代web应用程序会集成microsoft的身份验证服务(如azure ad或azure ad b2c)以实现用户登录。然而,当尝试在localhost上运行这些应用程序时,它们通常会被重定向到login.microsoftonline.com进行认证。由于本地开发环境的url(例如http://localhost:port)与在azure ad中为生产或测试环境配置的“回复url”不匹配,这会导致一个常见的错误:aadsts50011: the reply url specified in the request does not match the reply urls configured for the application。
虽然可以在Azure AD中为localhost配置额外的回复URL,但这不仅需要对Azure AD租户的访问权限,而且每次进行本地开发时仍然需要依赖外部网络连接。对于追求完全隔离、独立于互联网且能快速迭代的本地开发环境而言,这并非理想方案。
解决方案:使用本地OpenID Connect模拟服务器为了解决上述问题,一种高效且专业的方案是引入一个本地的OpenID Connect (OIDC) 模拟服务器。这个模拟服务器将充当一个替代的身份提供者(Identity Provider, IdP),在本地环境中模拟Microsoft身份验证服务的行为,并始终返回成功的认证响应。这样,您的应用程序可以在不连接外部Microsoft服务的情况下,完成认证流程。
核心原理OIDC模拟服务器会:
- 模拟OIDC端点: 它会提供标准的OIDC发现文档(.well-known/openid-configuration)、授权端点、令牌端点等,就像一个真实的IdP一样。
- 接受认证请求: 当您的应用程序将用户重定向到模拟服务器进行认证时,它会接收这些请求。
- 返回成功响应: 模拟服务器不会执行实际的用户凭据验证,而是直接生成并返回一个有效的ID令牌和/或访问令牌,模拟用户成功登录的状态。
Soluto/oidc-server-mock是一个优秀的Docker镜像,专门设计用于模拟OIDC服务器。以下是将其集成到您的Docker Compose项目中的步骤:
-
修改docker-compose.yml文件: 在您的docker-compose.yml文件中添加一个新服务,用于运行oidc-server-mock。
version: '3.8' services: # ... 您的其他服务 ... oidc-mock: image: soluto/oidc-server-mock:latest ports: - "8080:8080" # 将容器的8080端口映射到主机的8080端口 environment: # 根据需要配置模拟服务器的行为,例如: # OIDC_MOCK_CLIENT_ID: "your-app-client-id" # OIDC_MOCK_AUDIENCE: "your-api-audience" # OIDC_MOCK_ISSUER: "http://localhost:8080" # 确保与您应用配置的Issuer匹配 networks: - app-network # 确保与您的应用服务在同一个网络中 your-app-service: # ... 您的应用程序服务配置 ... depends_on: - oidc-mock # 确保oidc-mock在您的应用启动前运行 networks: - app-network networks: app-network: driver: bridge说明:
- image: soluto/oidc-server-mock:latest:指定使用的Docker镜像。
- ports: - "8080:8080":将模拟服务器的默认端口8080映射到主机的8080端口,这样您的应用程序就可以通过http://localhost:8080访问它。
- environment:您可以根据需要设置环境变量来配置模拟服务器的行为,例如模拟的客户端ID、受众等。OIDC_MOCK_ISSUER非常重要,它定义了模拟服务器的颁发者URL,您的应用程序需要将其配置为信任此URL。
- networks:确保模拟服务器和您的应用程序服务在同一个Docker网络中,以便它们可以相互通信。
- depends_on: - oidc-mock:确保在您的应用程序服务启动之前,模拟服务器已经运行。
-
修改您的应用程序配置: 将您的应用程序中配置的身份提供者URL从login.microsoftonline.com(或任何真实的Microsoft身份验证URL)更改为指向您的本地OIDC模拟服务器。
例如,如果您的应用程序使用Microsoft.Identity.Web、oidc-client-js或其他OIDC客户端库,您需要修改配置,将Authority或Issuer参数指向http://localhost:8080(或您在docker-compose.yml中映射的端口)。
示例(概念性,具体取决于您的技术栈):
-
ASP.NET Core (appsettings.json):
"AzureAd": { "Instance": "http://localhost:8080/", // 指向本地OIDC模拟服务器 "Domain": "localhost", "TenantId": "mock-tenant-id", // 可以是任意值 "ClientId": "your-app-client-id", "CallbackPath": "/signin-oidc" }请注意,oidc-server-mock会自动创建符合OIDC要求的.well-known/openid-configuration路径,因此您只需提供基础URL。
-
JavaScript/Frontend (oidc-client-js):
const settings = { authority: 'http://localhost:8080', // 指向本地OIDC模拟服务器 client_id: 'your-app-client-id', redirect_uri: 'http://localhost:3000/callback', response_type: 'code', scope: 'openid profile email', post_logout_redirect_uri: 'http://localhost:3000/', }; const userManager = new UserManager(settings);
-
启动您的Docker Compose环境: 运行docker-compose up -d启动所有服务。
优点:
- 完全隔离: 本地开发环境不再依赖外部互联网连接,提高了开发效率和稳定性。
- 快速测试: 每次启动应用程序都能立即获得成功的认证响应,无需等待外部服务响应或处理复杂的配置。
- 简化配置: 避免了在Azure AD中为localhost配置复杂且可能不安全的回复URL。
- 一致性: 确保了本地开发环境的认证行为与生产环境(OIDC协议层面)保持一致,但无需真实凭据。
注意事项:
- 仅限开发环境: OIDC模拟服务器仅适用于本地开发和测试。它不提供真正的安全认证,也不应在生产环境中使用。
- 功能模拟: 它模拟的是OIDC协议的基本流程,但不会模拟Microsoft身份验证服务的所有高级功能,例如多因素认证、条件访问策略或复杂的令牌声明转换。如果您的应用程序需要测试这些高级功能,仍然需要连接到真实的Azure AD环境。
- 令牌内容: 模拟服务器生成的令牌通常包含预设的、简单的声明。如果您的应用程序依赖特定的令牌声明,您可能需要查阅oidc-server-mock的文档,看是否可以通过环境变量配置这些声明。
通过集成一个本地的OpenID Connect模拟服务器,如Soluto/oidc-server-mock,您可以有效解决在Docker Compose本地开发环境中与Microsoft身份验证服务集成时遇到的AADSTS50011错误。这种方法不仅实现了开发环境的完全隔离和独立,还极大地简化了认证流程的测试,从而加速了开发周期。对于需要快速迭代和独立测试认证功能的开发者而言,这是一个不可或缺的专业工具。
以上就是本地开发环境下的Microsoft Sign-in功能模拟教程的详细内容,更多请关注知识资源分享宝库其它相关文章!
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。