具有多个身份验证的 ASP.NET Core MVC 需要 Oauth

在构建新的内部解决方案（使用 ASP.NET Core MVC）时，我们的策略是使用我们的 Active Directory（又名 Entra）为用户进行身份验证。然后，这个新应用程序收集数据，然后使用其 API/SDK 生成 DocuSign 对象。这是我第一次需要通过 SDK 调用 API，我对这些机制有点困惑。我想遵循最佳安全实践。DocuSign 建议在用户在场时使用机密授权代码授予，并提供示例。但是，我认为修改 Program.cs 的示例（示例显示使用旧 .NET 版本的 Startup.cs）与 Entra 身份验证结合使用时不起作用。

简而言之，这个解决方案应该这样工作：

1. 所有用户均通过 Entra ID (Azure AD) 进行身份验证。（参见黄色突出显示）
2. 一旦通过身份验证，用户可以执行可能需要使用 OAuth 2.0 授权码流调用 DocuSign API 的操作。

我的问题（更新后，仍然想了解前两个问题）：

1. 我相信（但不是 100% 确定）Entra 不使用 cookie 身份验证。我们不应该改变这一点。

2. 是否可以像我使用 所述那样在单个应用程序中进行多次身份验证Program.cs AddAuthentication()？ 的目的是什么EnableTokenAcquisitionToCallDownstreamApi()？是使用用户的凭据来获取这些凭据允许的其他数据吗？

3. （已更新回答 - 找到了另一种方法来实现这一点）我认为我应该在 Program.cs 中尝试AddAuthentication()，而不是创建 HttpClient 请求，在控制器中编写代码以获取访问令牌，然后以某种方式持久化它以调用其他 DocuSign API。我以为我会找到这样的例子，但我主要看到使用 JWT 令牌进行 api 到 api 调用的例子。对吗？答案：是的

更新：最终，从 Program.cs 中删除了第二个 AddAuthentication()：

// Add Entra authentication
builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(builder.Configuration.GetSection("AzureAd"));
//pulled out all the other AddAuth, AddOauth... 

我使用我的控制器来调用 Docusign SDK。底部有一个文档，其中包含可用的类和方法：https://developers.docusign.com/platform/auth/confidential-authcode-get-token/

在我的控制器层中使用了 DocuSignClient.cs 3 种方法。 (在此处查看其类代码https://github.com/docusign/docusign-esign-csharp-client/blob/master/sdk/src/DocuSign.eSign/Client/DocuSignClient.cs )

GetAuthorizationUri(), GenerateAccessToken(),GetUserInfo()

成功了。也许 DocuSign 会提供使用这些的示例和样本，我自己没有找到，但它相当简单。它不在他们的 QuickStart 代码中。

原文：当我尝试示例代码（下面的片段）时，我成功地通过了 Entra 的身份验证，当我使用 DocuSign 身份验证导航到控制器时，系统会提示我输入 DocuSign 凭据。一切都很好。在 中设置断点后OnCreatingTicket，我完成了身份验证的这一部分。但是，在此之后，我得到了下面的异常。所有关于它的研究表明我需要在我的默认身份验证方案中启用 cookie。我不想这样做。

例外：

The authentication handler registered for scheme 'OpenIdConnect' is 'OpenIdConnectHandler' which cannot be used for SignInAsync. The registered sign-in schemes are: Cookies.

Microsoft.AspNetCore.Authentication.AuthenticationService.SignInAsync(HttpContext context, string scheme, ClaimsPrincipal principal, AuthenticationProperties properties)
Microsoft.AspNetCore.Authentication.RemoteAuthenticationHandler<TOptions>.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.AuthenticationMiddleware.Invoke(HttpContext context)
Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddlewareImpl.Invoke(HttpContext context)

        var builder = WebApplication.CreateBuilder(args);
        
        // Add Entra authentication
        builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(builder.Configuration.GetSection("AzureAd"));
        
        
        // Add DocuSign authentication
        builder.Services.AddAuthentication(options =>
                    {
                        options.DefaultSignOutScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                        options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                        options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                        options.DefaultChallengeScheme = "DocuSign";
                    })
                    .AddCookie()
                    .AddOAuth("DocuSign", options =>
                    {
                        options.ClientId = this.Configuration["DocuSign:ClientId"];
                        options.ClientSecret = this.Configuration["DocuSign:ClientSecret"];
                        options.CallbackPath = new PathString("/ds/callback");
                        options.AuthorizationEndpoint = this.Configuration["DocuSign:AuthorizationEndpoint"];
                        options.TokenEndpoint = this.Configuration["DocuSign:TokenEndpoint"];
                        options.UserInformationEndpoint = this.Configuration["DocuSign:UserInformationEndpoint"];
        
        options.Events = new OAuthEvents
        {
            OnCreatingTicket = async context =>
            {
                var request = new HttpRequestMessage(HttpMethod.Get, context.Options.UserInformationEndpoint);
                request.Headers.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
                request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", context.AccessToken);
                var response = await context.Backchannel.SendAsync(request, HttpCompletionOption.ResponseHeadersRead, context.HttpContext.RequestAborted);
                response.EnsureSuccessStatusCode();
                var user = JObject.Parse(await response.Content.ReadAsStringAsync());
                user.Add("access_token", context.AccessToken);
                user.Add("refresh_token", context.RefreshToken);
                user.Add("expires_in", DateTime.Now.Add(context.ExpiresIn.Value).ToString());
                using (JsonDocument payload = JsonDocument.Parse(user.ToString()))
                {
                    context.RunClaimActions(payload.RootElement);
                }
            }
    
    //lines 151 - 244 from https://github.com/docusign/code-examples-csharp/blob/master/launcher-csharp/Startup.cs
    
    // Add controllers and Razor pages with Auth
    builder.Services.AddControllersWithViews(options =>
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticateUser()
            .Build();
        options.Filters.Add(new AuthorizeFilter(policy));
    }).AddMicrosoftIdentityUI();

    —-----------------
    [Authorize(AuthenticationSchemes = "DocuSign")]
    public IActionResult Login(string authType = "CodeGrant", string returnUrl = "/")
    {
        if (authType == "CodeGrant") 
        {
            return Challenge(new AuthenticationProperties() { RedirectUri = returnUrl });
        }
    }

以下是我用作指导的 DocuSign 文档：https://developers.docusign.com/docs/esign-rest-api/sdks/csharp/auth/