如何在.NET核心(缺失BootstrapContext)中代表auth？

Question

我在.NET 4.5中代表示例运行了以下内容：

https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof

但我需要在.NET内核中做同样的事情。当尝试将示例服务移植到.NET核心时，除了这一行之外，所有内容都会编译：

var bootstrapContext = ClaimsPrincipal.Current.Identities.First().BootstrapContext as System.IdentityModel.Tokens.BootstrapContext;

它不会编译，因为System.IdentityModel在.NET内核中不可用。

我发现，如果我使用此代码获取用户访问令牌和用户名，那么它适用于与服务相同的租户中的用户：

System.Security.Claims.ClaimsIdentity identity = 
    User.Identity as System.Security.Claims.ClaimsIdentity;
string userAccessToken = identity.BootstrapContext as string;
string userName = (User.FindFirst(ClaimTypes.Upn))?.Value;

但是对于不同租户(多租户身份验证)中的用户，userAccessToken和userName设置为null。对于来自不同租户的用户，我需要做什么不同的工作呢？

Answer 1

我发现userAccessToken和userName之所以返回为null，是因为在Startup.cs中调用UseJwtBearerAuthentication时缺少了SaveSigninToken参数：

app.UseJwtBearerAuthentication(new JwtBearerOptions
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    Authority = String.Format(CultureInfo.InvariantCulture, Configuration["Authentication:AzureAd:AADInstance"], Configuration["Authentication:AzureAd:Tenant"]),
    Audience = Configuration["Authentication:AzureAd:Audience"],
            TokenValidationParameters = new TokenValidationParameters { SaveSigninToken = true, ValidateIssuer = false }
});

如果没有SaveSigninToken = true，调用方的访问令牌和标识在调用方来自另一个租户的情况下不会通过。

Answer 2

与使用BootstrapContext类获取access_token不同，我们可以在控制器中直接使用HttpContext通过下面的代码获取原始access_token：

var orignalToken = HttpContext.Request.Headers["authorization"][0].Split(' ')[1];