ASP.NET Core Blazor Web App 中 OIDC 认证的配置优化

在 ASP.NET Core Blazor Web App 项目中，使用 OpenID Connect (OIDC) 进行身份认证时，开发者可以通过应用配置文件(appsettings.json)来简化认证参数的配置，避免在代码中硬编码这些设置。这种方式不仅使配置更加集中和易于管理，还提高了应用的可维护性。

应用配置文件的认证设置

对于 Blazor Web App 项目，可以在 appsettings.json 文件中配置 OIDC 认证参数。以下是一个典型的配置示例：

"Authentication": {
  "Schemes": {
    "MicrosoftOidc": {
      "Authority": "https://login.microsoftonline.com/{租户ID}/v2.0/",
      "ClientId": "{客户端ID}",
      "CallbackPath": "/signin-oidc",
      "SignedOutCallbackPath": "/signout-callback-oidc",
      "RemoteSignOutPath": "/signout-oidc",
      "SignedOutRedirectUri": "/",
      "Scope": [
        "openid",
        "profile",
        "offline_access",
        "{API应用ID URI}/Weather.Get"
      ]
    }
  }
}

这个配置包含了 OIDC 认证所需的关键参数：

• Authority：指定认证服务器的地址
• ClientId：应用的客户端标识符
• 各种回调路径：处理认证流程中的不同阶段
• Scope：定义应用请求的权限范围

代码中的简化

使用上述配置文件后，可以移除 Program.cs 文件中硬编码的 OIDC 配置代码，使代码更加简洁。原本需要手动添加的各种参数现在都可以通过配置文件自动加载。

对于使用 JWT Bearer 认证的 Web API 项目，同样可以采用类似的配置方式：

"Authentication": {
  "Schemes": {
    "Bearer": {
      "Authority": "https://sts.windows.net/{租户ID}/",
      "ValidAudiences": [ "{API应用ID URI}" ]
    }
  }
}

TokenValidationParameters 的 IssuerValidator

在配置 OIDC 认证时，TokenValidationParameters.IssuerValidator 是一个重要的验证参数。它用于验证令牌的颁发者(issuer)是否合法。开发者可以通过这个参数自定义颁发者的验证逻辑，这在某些特殊场景下非常有用，比如当需要接受来自多个颁发者的令牌时。

配置方式的优势

采用应用配置文件来管理认证参数有多个优点：

1. 集中管理：所有认证相关的配置都集中在一个地方，便于维护
2. 环境隔离：可以针对不同环境(开发、测试、生产)使用不同的配置文件
3. 安全性：敏感信息可以更容易地从代码库中分离出来
4. 灵活性：修改配置无需重新编译应用

这种配置方式特别适合企业级应用和需要频繁调整认证参数的场景，它使得应用的认证配置更加灵活和易于管理。