本地模拟Microsoft登录功能教程

在本地Docker Compose环境中开发，应用程序常依赖Microsoft身份验证服务，但因本地URL与Azure AD配置不匹配，易出现AADSTS50011错误。**本文针对此问题，提供一套本地模拟Microsoft登录功能的解决方案**，即通过集成OpenID Connect (OIDC) 模拟服务器，如Soluto/oidc-server-mock，无需互联网连接即可实现完全隔离的本地认证测试。该方案模拟OIDC端点，接受认证请求并返回成功响应，简化开发流程，提高效率。通过修改docker-compose.yml文件并调整应用程序配置，将身份提供者URL指向本地模拟服务器，即可在本地快速测试认证功能，避免依赖外部服务，加速开发周期，尤其适用于需要快速迭代和独立测试认证功能的开发者。

本地开发环境中的身份验证挑战

在基于Docker Compose的本地开发流程中，许多现代Web应用程序会集成Microsoft的身份验证服务（如Azure AD或Azure AD B2C）以实现用户登录。然而，当尝试在localhost上运行这些应用程序时，它们通常会被重定向到login.microsoftonline.com进行认证。由于本地开发环境的URL（例如http://localhost:port）与在Azure AD中为生产或测试环境配置的“回复URL”不匹配，这会导致一个常见的错误：AADSTS50011: The reply URL specified in the request does not match the reply URLs configured for the application。

虽然可以在Azure AD中为localhost配置额外的回复URL，但这不仅需要对Azure AD租户的访问权限，而且每次进行本地开发时仍然需要依赖外部网络连接。对于追求完全隔离、独立于互联网且能快速迭代的本地开发环境而言，这并非理想方案。

解决方案：使用本地OpenID Connect模拟服务器

为了解决上述问题，一种高效且专业的方案是引入一个本地的OpenID Connect (OIDC) 模拟服务器。这个模拟服务器将充当一个替代的身份提供者（Identity Provider, IdP），在本地环境中模拟Microsoft身份验证服务的行为，并始终返回成功的认证响应。这样，您的应用程序可以在不连接外部Microsoft服务的情况下，完成认证流程。

核心原理

OIDC模拟服务器会：

1. 模拟OIDC端点： 它会提供标准的OIDC发现文档（.well-known/openid-configuration）、授权端点、令牌端点等，就像一个真实的IdP一样。
2. 接受认证请求： 当您的应用程序将用户重定向到模拟服务器进行认证时，它会接收这些请求。
3. 返回成功响应： 模拟服务器不会执行实际的用户凭据验证，而是直接生成并返回一个有效的ID令牌和/或访问令牌，模拟用户成功登录的状态。

实施步骤：集成Soluto/oidc-server-mock

Soluto/oidc-server-mock是一个优秀的Docker镜像，专门设计用于模拟OIDC服务器。以下是将其集成到您的Docker Compose项目中的步骤：

1. 修改docker-compose.yml文件： 在您的docker-compose.yml文件中添加一个新服务，用于运行oidc-server-mock。

   version: '3.8'
   services:
     # ... 您的其他服务 ...
   
     oidc-mock:
       image: soluto/oidc-server-mock:latest
       ports:
         - "8080:8080" # 将容器的8080端口映射到主机的8080端口
       environment:
         # 根据需要配置模拟服务器的行为，例如：
         # OIDC_MOCK_CLIENT_ID: "your-app-client-id"
         # OIDC_MOCK_AUDIENCE: "your-api-audience"
         # OIDC_MOCK_ISSUER: "http://localhost:8080" # 确保与您应用配置的Issuer匹配
       networks:
         - app-network # 确保与您的应用服务在同一个网络中
   
     your-app-service:
       # ... 您的应用程序服务配置 ...
       depends_on:
         - oidc-mock # 确保oidc-mock在您的应用启动前运行
       networks:
         - app-network
   
   networks:
     app-network:
       driver: bridge

   说明：

   • image: soluto/oidc-server-mock:latest：指定使用的Docker镜像。
   • ports: - "8080:8080"：将模拟服务器的默认端口8080映射到主机的8080端口，这样您的应用程序就可以通过http://localhost:8080访问它。
   • environment：您可以根据需要设置环境变量来配置模拟服务器的行为，例如模拟的客户端ID、受众等。OIDC_MOCK_ISSUER非常重要，它定义了模拟服务器的颁发者URL，您的应用程序需要将其配置为信任此URL。
   • networks：确保模拟服务器和您的应用程序服务在同一个Docker网络中，以便它们可以相互通信。
   • depends_on: - oidc-mock：确保在您的应用程序服务启动之前，模拟服务器已经运行。

2. 修改您的应用程序配置： 将您的应用程序中配置的身份提供者URL从login.microsoftonline.com（或任何真实的Microsoft身份验证URL）更改为指向您的本地OIDC模拟服务器。

   例如，如果您的应用程序使用Microsoft.Identity.Web、oidc-client-js或其他OIDC客户端库，您需要修改配置，将Authority或Issuer参数指向http://localhost:8080（或您在docker-compose.yml中映射的端口）。

   示例（概念性，具体取决于您的技术栈）：

   • ASP.NET Core (appsettings.json):

     "AzureAd": {
       "Instance": "http://localhost:8080/", // 指向本地OIDC模拟服务器
       "Domain": "localhost",
       "TenantId": "mock-tenant-id", // 可以是任意值
       "ClientId": "your-app-client-id",
       "CallbackPath": "/signin-oidc"
     }

     请注意，oidc-server-mock会自动创建符合OIDC要求的.well-known/openid-configuration路径，因此您只需提供基础URL。

   • JavaScript/Frontend (oidc-client-js):

     const settings = {
         authority: 'http://localhost:8080', // 指向本地OIDC模拟服务器
         client_id: 'your-app-client-id',
         redirect_uri: 'http://localhost:3000/callback',
         response_type: 'code',
         scope: 'openid profile email',
         post_logout_redirect_uri: 'http://localhost:3000/',
     };
     const userManager = new UserManager(settings);

3. 启动您的Docker Compose环境： 运行docker-compose up -d启动所有服务。

优点与注意事项

优点：

• 完全隔离： 本地开发环境不再依赖外部互联网连接，提高了开发效率和稳定性。
• 快速测试： 每次启动应用程序都能立即获得成功的认证响应，无需等待外部服务响应或处理复杂的配置。
• 简化配置： 避免了在Azure AD中为localhost配置复杂且可能不安全的回复URL。
• 一致性： 确保了本地开发环境的认证行为与生产环境（OIDC协议层面）保持一致，但无需真实凭据。

注意事项：

• 仅限开发环境： OIDC模拟服务器仅适用于本地开发和测试。它不提供真正的安全认证，也不应在生产环境中使用。
• 功能模拟： 它模拟的是OIDC协议的基本流程，但不会模拟Microsoft身份验证服务的所有高级功能，例如多因素认证、条件访问策略或复杂的令牌声明转换。如果您的应用程序需要测试这些高级功能，仍然需要连接到真实的Azure AD环境。
• 令牌内容： 模拟服务器生成的令牌通常包含预设的、简单的声明。如果您的应用程序依赖特定的令牌声明，您可能需要查阅oidc-server-mock的文档，看是否可以通过环境变量配置这些声明。

总结

通过集成一个本地的OpenID Connect模拟服务器，如Soluto/oidc-server-mock，您可以有效解决在Docker Compose本地开发环境中与Microsoft身份验证服务集成时遇到的AADSTS50011错误。这种方法不仅实现了开发环境的完全隔离和独立，还极大地简化了认证流程的测试，从而加速了开发周期。对于需要快速迭代和独立测试认证功能的开发者而言，这是一个不可或缺的专业工具。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。