通过 ADAL JavaScript Ajax 和 KnockoutJs 的 MVC AD Azure 刷新令牌

我构建的 MVC 应用程序类型存在固有的设计缺陷，我相信我不是第一个意识到这一点的人。

我有一个 MVC 4 应用程序，它利用 AD Azure 身份验证，通过以下方式引入到应用程序中

使用 Azure Active Directory 开发 ASP.NET 应用程序

一旦用户通过身份验证并且Home.cshtml加载时，KnockoutJs 用于执行 JavaScript AJAX POST 和 GET 请求来读取和写入数据。

因此，它不完全是一个单页应用程序，而是通过 AJAX 进行身份验证和服务资产以及读/写操作的传统回发的混合体。

在 AJAX 请求期间，身份验证令牌会过期，并且 AD 无法通过 JavaScript 刷新令牌。

观察到以下浏览器错误

XMLHttpRequest 无法加载https://login.windows.net/xxx。 请求的资源上不存在“Access-Control-Allow-Origin”标头。 因此，不允许访问源“xxx”。

我研究了 adal.js 和以下帖子，但不确定 adal.js 是否是我的应用程序类型的解决方案 或者如何最好地将其合并以使其适合我的应用程序类型。

到目前为止我的理解：

我没有使用 AngularJS。

我一开始并不是通过 JavaScript 进行身份验证，而且我的身份验证不是 JavaScript 驱动的，无法从 adal.js 中受益。

身份验证在服务器端完成，后续的 OAuth2 刷新令牌机制需要整页回发。

我偶然发现了 Vittorio Bertocci 的各种相关帖子，但没有一个帖子讨论了这种类型的 MVC 应用程序设计的特殊性。

ADAL、Windows Azure AD 和多资源刷新令牌

WAAD 不会从 javascript 刷新访问令牌

结合 ADAL.Net 和 ADAL.js

AngularJS + ADAL.JS 设置资源 ID（受众）

您的设置问题在于您使用 cookie 来验证 AJAX 调用。 Cookie 并不是非常适合这种情况，当您需要在域之外进行调用和/或 Cookie 过期时，通常会出现该方法的局限性。事实上，它是一种常见的方法，主要是由于一段时间以来无法提供对 auth 的适当 SPA 支持而导致的演进步骤，但这并不意味着它是一种好的方法。 您可以自由地坚持当前的方法，但这会带来一些痛苦。没有既定机制可以从 JS 触发会话 cookie 更新。虽然可以一起破解，但我们没有这方面的示例 - 主要是因为它是一个破解:)基本情况似乎很简单，但是一旦您开始考虑所有可能的情况（如果您的应用程序会话过期时会发生什么，用户退出 Azure AD 并使用其他帐户登录？）。 最万无一失的方法是放弃混合方法。如果你想成为一个 JS 应用程序，你可以消除所有服务器驱动的登录，并且仍然保留执行服务器端流程的能力（通过代表授权，例如https://github.com/AzureADSamples/WebAPI-OnBehalfOf-DotNet）。如果您不愿意，您甚至不需要转换为角度，请参阅https://github.com/AzureADSamples/SinglePageApp-jQuery-DotNet。 如果你想成为一个基于回发的应用程序，你可以删除 JS 部分（尽管这听起来很痛苦）。

TL;DR：通过 cookie 保护 AJAX 调用并不是一个干净的解决方案，您一定会感到一些痛苦。您的选择是使用临时黑客修补问题，或者重构为更规范的方法。关于这些坏消息我很遗憾 ：（