2. 程式人生 > 其它 >【Azure 應用服務】應用程式碼需要客戶端證書進行驗證,部署到App Service後,如何配置讓客戶端攜帶證書呢?

【Azure 應用服務】應用程式碼需要客戶端證書進行驗證,部署到App Service後,如何配置讓客戶端攜帶證書呢?

阿新 發佈:2022-02-17

問題描述

.NET 6 MVC應用,程式碼中要求客戶端訪問時候必須攜帶正確的證書,如果不攜帶或者攜帶錯誤的證書,都會得到 HTTP ERROR 403Forbidden錯誤

在App Service中,客戶端訪問不攜帶證書時的錯誤頁面為

在App Service中客戶端訪問攜帶了證書,但是證書驗證失敗的錯誤頁面為

問題解決

在App Service的配置頁面 (General Settings)中,可以開啟Client Certificate Mode為Require(它的預設值為Ignore)。這樣在第一次訪問時候,客戶端會要求從本地選擇一個客戶端證書。

配置截圖

當訪問App Service時,瀏覽器就會自動彈出選擇證書視窗:

程式碼參考

驗證客戶端上傳證書的Thumbprints 的片段程式碼

builder.Services.AddAuthentication(CertificateAuthenticationDefaults.AuthenticationScheme)
        .AddCertificate(options =>
        {
            options.AllowedCertificateTypes = CertificateTypes.All;

            options.Events = new CertificateAuthenticationEvents
            {
                OnCertificateValidated 
 
= context =>
                {
                    string[] allowedThumbprints = {
                                "9bded811e9852f3cb6b347529f78b1f4be5bcf50",
                                "5d6d791a9284628203a5b3e238e5ee7448d57f2b",
                                "41b3906fa93c50d2cce35132d8853fdf29d7d539
 
",
                                "3109b0222269b47cd8190252f5f1adb06751103a"
                    };

                    if (allowedThumbprints.Contains(context.ClientCertificate.Thumbprint.ToLower()))
                    {
                        context.Success();
                    }
                    else
                    {
                        context.Fail("Invalid certificate: " + context.ClientCertificate.Thumbprint);
                    }
                    return Task.CompletedTask;
                },
                OnAuthenticationFailed = context =>
                {
                    context.Fail("Invalid certificate");
                    return Task.CompletedTask;
                }
            };
        });

參考資料

Configure certificate authentication in ASP.NET Core:https://docs.microsoft.com/en-us/aspnet/core/security/authentication/certauth?view=aspnetcore-6.0

CERTIFICATE AUTHENTICATION IN ASP.NET CORE3.1https://damienbod.com/2019/06/13/certificate-authentication-in-asp-net-core-3-0/

Using Certificates For API Authentication In .NET 5:https://www.c-sharpcorner.com/article/using-certificates-for-api-authentication-in-net-5/

當在複雜的環境中面臨問題,格物之道需:濁而靜之徐清,安以動之徐生。 雲中,恰是如此!

相關推薦

Azure 應用服務應用程式碼需要客戶證書進行驗證部署App Service如何配置客戶攜帶證書

問題描述 .NET 6 MVC應用程式碼中要求客戶訪問時候必須攜帶正確的證書如果不攜帶或者攜帶錯誤的證書都會得到 HTTP ERROR 403Forbidden錯誤

Azure 應用服務應用服務中釋出Docker Container如何添加捲(如Azure File Share)以便永久儲存檔案

問題描述 應用服務中釋出Docker Container如何添加捲(如Azure File Share)以便永久儲存檔案

Azure 儲存服務程式碼Azure Storage Blob 生成 SAS (Shared Access Signature: 共享訪問簽名)

問題描述 在使用Azure儲存服務,為了有效的保護Storage的Access Keys。可以使用另一種授權方式訪問資源(Shared Access Signature: 共享訪問簽名), 它的好處可以控制允許訪問的IP過期時間許可權和服務等。Azure

Azure服務Azure Cloud Service如何來設定固定IP地址(ReservedIP)

問題描述 在雲中環境部署應用到雲服務(Cloud Service)都是動態的IP地址所以在新增DNS記錄的時候都是使用CNAME但如果需要在DNS中新增A記錄需要一個固定IP。

Azure 儲存服務Python模組(azure.cosmosdb.table)直接對錶儲存(Storage Account Table)做操作示例

什麼是表儲存 Azure 表儲存是一項用於在雲中儲存結構化 NoSQL 資料的服務,通過無結構化的設計提供鍵/屬性儲存。因為表儲存無固定的資料結構要求因此可以很容易地隨著應用程式需求的發展使資料適應儲存。Azure 表儲

Azure 儲存服務Storage Account Blob 使用REST API如何獲取磁碟大小(Content-Length), IOPS資訊

問題描述 1)關於使用Rest API獲取非託管磁碟資訊比如獲取磁碟大小 2)關於使用Rest API獲取非託管磁碟資訊比如iops

Azure 媒體服務Azure Media Service Explorer 5.4.3.0 不能連線Media Service, 錯誤訊息提示 BadRequest 和 Forbidden

問題描述 Azure Media Service Explorer 5.4.3.0 不能連線Media Service, 錯誤訊息提示 BadRequest 和 Forbidden。

Azure服務Service Fabric 部署時遇見了VMExtensionProvisioningError錯誤: Multiple VM extensions failed to be provisioned on the VM

問題描述 Deployment Azure Service Fabric 時遇見了VMExtensionProvisioningError 全文如下:

Azure服務Azure Cloud Service 為 Web Role(IIS Host)增加自定義欄位 (把HTTP Request Header中的User-Agent欄位增加到IIS輸出日誌中)

問題描述 把Web Role服務釋出到Azure Cloud Service需要在IIS的輸出日誌中把每一個請求的HTTP Request Header中的User-Agent內容也輸出到日誌中。通過Cloud Service(雲服務)如何實現

Azure 儲存服務使用POST方式向Azure Storage Queue中插入Message的辦法

問題描述 使用POST HTTP Request 如何向Azure Storage Queue中寫入Message?例如使用CURL傳送POST指令是否可以

Azure 儲存服務ADLS Gen 2 Backup/軟刪除/Version管理/快照等功能參考資料

問題描述 ADLS Gen 2 儲存的備份軟刪除和version管理, 快照等功能應該怎麼啟用?

Azure服務面對Service Fabric中節點狀態不正常(Disabling/Warning/RemoveNode)的幾種嘗試解決方案

問題描述 發現 Service Fabric 的節點狀態異常如出現 Disabling Warning或者 RemoveNode的情況並且持續很長時間都沒有變化(2小時以上)。如何來緩解這種問題

Azure服務記一次錯誤的更新Service Fabric 證書而引發的叢集崩潰而只能重建

問題描述 錯誤的操作步驟: 1)更新Service Fabric的證書制定了次要證書(Secondary)但是隻修改了Service Fabric Cluster證書而沒有指定VMSS(虛擬機器規模集)的證書

Azure 儲存服務App Service 訪問開啟防火牆的儲存賬號時遇見 403 (This request is not authorized to perform this operation.)

問題描述 需要 App Service 訪問開啟防火牆的儲存賬號。儲存賬號中設定為允許選中的VNET訪問同時允許了信任的Azure服務的訪問但是仍然報錯 “403 (This request is not authorized to perform this operation.)

Azure 媒體服務記錄使用Java呼叫Media Service API時候遇見的一些問題

問題一:java.lang.IllegalArgumentException: Parameter this.client.subscriptionId() is required and cannot be null.

Azure服務Azure Cloud Service (Extended Support) 雲服務開啟診斷日誌外掛 WAD Extension (Windows Azure Diagnostic) 無法正常工作的原因

問題描述 在Azure中國區上面建立一個雲服務(外延支援)根據官方文件(在雲服務(外延支援)中應用 Azure 診斷擴充套件: https://docs.azure.cn/zh-cn/cloud-services-extended-support/enable-wad)啟用了WAD擴充

Azure 應用服務Azure App Service for Windows 中部署Java web專案時候需要在wwwroot下設定web.config

問題描述 在Azure App Service for Windows 中部署Java web專案時候需要在wwwroot下設定web.config而爭對Jar包war包則有不同的設定方式一下兩段web.config的內容分別對應Jar 和War包

Azure 應用服務Azure Funciton中使用Powershell指令碼函式需要儲存一些變數值如何解決?

問題描述 使用Azure Function建立Powershell指令碼來執行函式在使用中需要儲存一些不重要的引數。一般情況儲存的問題都是交給DBStorage等來解決。但是有沒有一種簡單的辦法?就用Powershell命令把引數的內容

Azure 應用服務App Service / Function App 修改系統時區為中國時區的辦法(Azure中所有服務的預設時間都為UTC時間轉換為北京時間需要+8小時)

問題描述 在AzureApp Service / Function App 服務如果是在Windows系統中可以通過新增Application Setting來轉換為中國時間(WEBSITE_TIME_ZONE : China Standard Time)。

Azure 應用服務Azure App Service多例項的情況下如何在應用中通過程式碼獲取到例項名(Instance ID)

問題描述 App Service開啟多例項如何在程式碼中獲取當前請求所真實達到的例項