Azure CLI 中 MSAL 缓存兼容性问题分析与解决方案

问题背景

近期 Azure CLI 用户在执行容器注册表相关操作时频繁遇到一个身份验证错误，错误信息显示无法从 msal.throttled_http_client 模块获取 NormalizedResponse 属性。这个问题主要影响使用 Azure CLI 2.71.0 及以下版本的用户，特别是在自动化流水线和容器环境中表现尤为突出。

技术原理分析

该问题的根本原因是 MSAL (Microsoft Authentication Library) 库的版本兼容性问题。在 MSAL 1.32.1 版本中引入了 NormalizedResponse 类，用于优化 HTTP 响应处理。当不同版本的 Azure CLI 混合使用时，会导致缓存文件解析失败。

具体表现为：

1. 新版本 Azure CLI (2.72.0+) 使用 MSAL 1.32.1+ 生成缓存文件
2. 旧版本 Azure CLI (≤2.71.0) 尝试读取这些缓存文件时，由于缺少 NormalizedResponse 类定义而失败

影响范围

该问题主要影响以下场景：

• 使用 Microsoft 托管代理的 Azure DevOps 流水线
• 容器化环境中运行的 Azure CLI
• 多版本 Azure CLI 共存的开发环境
• 自动化脚本中执行 az acr 相关命令

解决方案

临时解决方案

1. 禁用 MSAL HTTP 缓存 在环境变量中设置：

   AZURE_CORE_USE_MSAL_HTTP_CACHE=false
   

   或通过 CLI 配置：

   az config set core.use_msal_http_cache=false
   

2. 清理缓存文件 删除以下缓存文件：

   • Linux/macOS: ~/.azure/msal_http_cache.bin
   • Windows: %USERPROFILE%.azure\msal_http_cache.bin

3. 统一 Azure CLI 版本 确保环境中所有组件使用相同版本的 Azure CLI，避免版本混用。

长期解决方案

建议采取以下措施避免类似问题：

1. 定期更新 Azure CLI 到最新稳定版本
2. 在 CI/CD 流水线中明确指定 Azure CLI 版本
3. 考虑使用容器镜像固定 Azure CLI 版本
4. 在自动化脚本中加入缓存清理逻辑

最佳实践建议

1. 版本管理 在关键业务系统中固定 Azure CLI 版本，避免自动升级带来的不可预期问题。

2. 环境隔离 为不同项目使用独立的虚拟环境或容器，避免依赖冲突。

3. 错误处理 在自动化脚本中加入错误处理和重试机制，特别是对于身份验证相关操作。

4. 监控预警 建立版本更新监控机制，及时了解 Azure CLI 新版本的变化和潜在影响。

总结

Azure CLI 的 MSAL 缓存兼容性问题是一个典型的版本升级导致的向后兼容问题。通过理解其背后的技术原理，我们可以采取针对性的解决方案。对于企业用户，建议建立完善的版本管理策略和升级测试流程，确保业务系统的稳定运行。