MSAL Angular 拦截器中的资源匹配问题分析与解决方案

问题背景

在微软身份验证库(MSAL)的Angular实现中，MsalInterceptor是一个重要的组件，它负责自动为API请求添加认证令牌。然而，当应用程序需要访问多个受保护资源时，该拦截器在处理包含其他资源URL的查询参数时会出现匹配错误。

问题现象

开发人员在使用MSAL Angular拦截器配置多个受保护资源时发现，当请求URL的查询参数中包含另一个受保护资源的URL时，拦截器会错误地匹配到不正确的资源作用域。例如：

• 配置了两个资源端点：https://API_SITE_1和https://API_SITE_2
• 当请求https://API_SITE_1/api/sites?$filter=siteUrl eq 'https://API_SITE_2'时
• 拦截器可能会错误地匹配到API_SITE_2的作用域，导致获取错误的访问令牌

技术分析

这个问题的根源在于MSAL拦截器的资源匹配逻辑存在缺陷：

1. URL匹配机制过于宽松：拦截器在匹配受保护资源时，会检查整个URL字符串（包括查询参数）是否与配置的资源模式匹配，而没有将查询参数排除在匹配范围之外。

2. 匹配顺序依赖：当找到多个匹配项时，拦截器简单地返回第一个匹配项的作用域，而没有考虑URL路径的精确匹配程度。

3. 资源作用域选择逻辑：在matchScopesToEndpoint方法中，当发现多个匹配时，仅记录警告并返回第一个匹配项，这可能导致获取错误的令牌。

解决方案

微软团队已经修复了这个问题，主要改进包括：

1. 精确URL匹配：修改了匹配逻辑，确保只匹配URL的主路径部分，忽略查询参数中的内容。

2. 匹配算法优化：改进了资源匹配算法，确保更精确地识别真正需要保护的资源端点。

3. 更严格的验证：增加了对匹配结果的验证，减少误匹配的可能性。

升级注意事项

在升级到修复版本后，开发者需要注意：

1. 通配符使用变化：新版本不再支持在origin部分使用通配符(如*/api/*)，需要明确指定完整的origin路径。

2. 配置调整：可能需要将原有的通配符配置改为完整的URL路径，例如：

   // 旧配置
   protectedResourceMap.set('*/api/*', [...])
   
   // 新配置
   protectedResourceMap.set(`${window.location.origin}/api/*', [...])
   

3. 测试验证：升级后应全面测试所有API请求，确保令牌获取行为符合预期。

最佳实践

为避免类似问题，建议：

1. 明确资源定义：尽可能使用完整的、明确的URL路径来定义受保护资源。

2. 避免过度通配：谨慎使用通配符，特别是在origin部分。

3. 测试边界情况：特别测试包含其他资源URL的查询参数的API请求。

4. 监控日志：关注MSAL的日志输出，特别是关于多个匹配作用域的警告信息。

总结

MSAL Angular拦截器的这一修复提高了资源匹配的准确性，特别是在处理复杂URL场景时。开发者应了解这一变化对现有应用的影响，并相应调整资源配置。通过遵循最佳实践，可以确保应用在多资源环境下稳定可靠地运行。