Azure SDK for .NET 中 DefaultAzureCredential 获取令牌失败问题分析

2025-06-05 10:46:32作者：郁楠烈Hubert

此代码库用于积极开发Azure SDK for .NET。对于SDK的用户，我们推荐访问我们的公共开发者文档 https://learn.microsoft.com/dotnet/azure/ 或我们版本化的开发者文档 https://azure.github.io/azure-sdk-for-net。

项目地址：https://gitcode.com/GitHub_Trending/az/azure-sdk-for-net

问题背景

在 Azure SDK for .NET 项目中，开发者报告了一个关于 Azure.Identity 库中 DefaultAzureCredential 无法获取令牌的问题。该问题主要出现在使用 Service Fabric 架构的服务中，当从 Azure.Identity 1.13.1 版本升级到 1.13.2 版本后，原本正常工作的 ManagedIdentityCredential 突然无法获取令牌。

问题现象

开发者在使用 DefaultAzureCredential 进行身份验证时遇到了以下错误：

DefaultAzureCredential failed to retrieve a token from the included credentials

错误信息显示所有可能的凭据源都失败了，包括：

EnvironmentCredential（环境变量未配置）
WorkloadIdentityCredential（工作负载选项未完全配置）
ManagedIdentityCredential（多次尝试从托管身份端点获取令牌失败）
VisualStudioCredential（无法访问 Visual Studio 令牌提供程序）
AzureCliCredential（Azure CLI 未安装）
AzurePowerShellCredential（Az.Accounts 模块未安装）
AzureDeveloperCliCredential（Azure Developer CLI 未找到）

技术分析

1. 版本兼容性问题

从错误日志可以看出，问题主要出现在从 Azure.Identity 1.13.1 升级到 1.13.2 版本后。根据 Azure.Identity 1.13.0 版本的发布说明，该版本引入了一个重大变更：

以前，如果为 Service Fabric 托管身份指定了不受支持的 clientID 或 ResourceID，这些参数会被静默忽略。现在，如果为 Service Fabric 托管身份指定了 clientID 或 resourceID，将会抛出异常。

2. 托管身份认证机制

在 Service Fabric 环境中，应用程序通常会使用托管身份（Managed Identity）进行身份验证。DefaultAzureCredential 会尝试多种认证方式，其中 ManagedIdentityCredential 是 Service Fabric 环境中的首选方式。

3. 问题根源

虽然开发者表示他们的代码只是简单地使用了 new ManagedIdentityCredential()，没有显式传递 clientID 或 resourceID 参数，但升级后仍然出现了问题。这表明：

可能是 Service Fabric 的本地托管身份端点在新版本中出现了兼容性问题
Azure.Identity 1.13.x 版本对 Service Fabric 托管身份的处理逻辑有所改变
底层身份验证流程可能发生了变化，导致原本可用的认证方式现在失败

解决方案

临时解决方案

回退到稳定版本：将 Azure.Identity 降级到 1.12.1 或 1.13.1 版本可以暂时解决问题
明确指定凭据类型：如果环境明确是 Service Fabric，可以直接使用 ManagedIdentityCredential 而不是 DefaultAzureCredential

长期解决方案

与 Service Fabric 团队协作：由于问题可能涉及 Service Fabric 的托管身份端点，需要 Service Fabric 团队调查端点为何间歇性不可用
等待 Azure.Identity 修复：关注 Azure.Identity 的后续版本，看是否有针对此问题的修复
实现重试机制：在代码中添加适当的重试逻辑，处理临时性的认证失败