AzureAD MSAL.js库在Blazor WASM中处理访问令牌aud声明的注意事项

背景介绍

在使用Microsoft Authentication Library for JavaScript (MSAL.js)与Blazor WebAssembly应用集成时，开发者可能会遇到访问令牌(access_token)中aud(受众)声明不正确的问题。特别是在.NET 8环境下使用Microsoft.Authentication.WebAssembly.Msal包(v8.0.1)时，即使明确指定了API范围，返回的访问令牌仍然显示为Microsoft Graph API的标识符(00000003-0000-0000-c000-000000000000)，而非预期的API客户端ID。

问题现象

开发者按照官方文档配置Blazor WASM应用使用MSAL身份验证后，发现获取的访问令牌中aud声明始终指向Microsoft Graph API，而不是自定义Web API的客户端ID。这种情况发生在使用Entra External ID作为身份提供商时，即使代码中明确请求了特定API范围的访问令牌。

技术分析

配置解析

在Blazor WASM应用的配置文件中，开发者通常会设置以下关键参数：

• Authority：身份验证机构的URL
• ClientId：Blazor WASM应用的客户端ID
• DefaultAccessTokenScopes：默认请求的API范围

令牌请求机制

当使用AuthorizationService.RequestAccessToken方法请求访问令牌时，即使指定了自定义API范围，MSAL.js库可能仍会返回带有Graph API受众的令牌。这是因为：

1. 初始身份验证流程可能默认包含Graph API权限
2. 令牌缓存机制可能导致返回不正确的令牌
3. 范围请求与实际令牌颁发之间存在异步处理

解决方案

正确使用令牌请求

开发者发现，在用户登录后直接调用受保护API时，系统会正确使用预期的aud声明。这表明问题不在于库本身，而在于令牌请求的时机和方式。

实现多API调用

对于需要访问多个API(包括Graph API和自定义API)的场景，推荐采用以下模式：

1. 在用户登录后立即请求特定API的访问令牌
2. 明确指定所需的范围(scope)
3. 将获取的令牌用于API调用

配置优化

确保应用配置中正确设置了所有必要的API权限和范围，包括：

• 在Azure门户中为应用注册添加API权限
• 验证范围字符串格式正确(如api://{client_id}/access_as_user)
• 检查令牌请求代码中是否明确指定了所需范围

最佳实践

1. 明确范围请求：始终在代码中明确指定所需的API范围，而不是依赖默认设置
2. 令牌验证：在客户端和服务器端都验证令牌的aud声明
3. 错误处理：实现适当的错误处理机制，应对令牌无效或范围不足的情况
4. 测试验证：在开发过程中使用工具检查令牌内容，确保其包含预期的声明

结论

这个问题实际上反映了对MSAL.js库工作流程的误解。DefaultAccessTokenScopes配置并不等同于立即获取指定API的访问令牌，而是定义了初始身份验证流程中请求的权限。要获取特定API的有效访问令牌，开发者需要在用户认证后明确请求，并正确处理返回的令牌。通过遵循正确的模式，可以确保应用安全地访问所需的API资源。