Azure-Samples/azure-search-openai-demo项目本地部署认证问题解决方案

在Azure-Samples/azure-search-openai-demo项目进行本地开发时，开发者可能会遇到一个常见的认证问题：当尝试在本地环境中登录应用时，系统会返回AADSTS50011错误，提示重定向URI不匹配。这个问题通常发生在配置了登录和访问控制列表(ACLs)功能的情况下。

问题现象

当开发者按照文档配置好登录/ACLs和文件上传功能后，在Azure Web应用服务中可以正常登录，但在本地运行后端服务(通过./app/start.sh启动)并尝试登录时，会遇到以下错误：

AADSTS50011: The redirect URI 'http://127.0.0.1:50505/redirect' specified in the request does not match the redirect URIs configured for the application...

问题根源

这个问题的根本原因在于Microsoft Entra ID(原Azure Active Directory)对本地开发环境的特殊要求。项目中的应用程序注册默认配置了使用"localhost"作为重定向URI，而不是"127.0.0.1"。虽然这两个地址在技术上指向同一台本地机器，但Entra ID将它们视为完全不同的URI。

解决方案

要解决这个问题，开发者需要确保在本地开发时：

1. 使用"localhost"而不是"127.0.0.1"访问应用程序
2. 前端开发服务器(Vite)也需要配置为使用localhost

对于使用Vite的前端开发，可以修改启动命令，去掉--host 127.0.0.1参数，让Vite默认使用localhost。

最佳实践建议

1. 统一使用localhost：在本地开发环境中，始终使用localhost而不是IP地址来访问应用
2. 文档说明：在项目文档中明确说明这一要求，帮助其他开发者避免同样的问题
3. 环境配置检查：在本地启动脚本中添加检查，确保开发环境配置正确
4. 错误处理：在应用中添加友好的错误提示，当检测到使用127.0.0.1时，提示开发者改用localhost

技术背景

这种限制源于安全考虑。Microsoft Entra ID要求精确匹配重定向URI，以防止开放重定向攻击。虽然127.0.0.1和localhost在功能上等价，但从安全角度被视为不同的实体。这种严格匹配的要求是OAuth 2.0和OpenID Connect规范的一部分，旨在提高身份验证过程的安全性。

通过遵循上述建议，开发者可以顺利地在本地环境中测试和开发带有认证功能的Azure-Samples/azure-search-openai-demo应用，而不会遇到重定向URI不匹配的问题。