Azure 容器应用身份验证支持称为令牌存储的功能。 令牌存储是与 Web 应用和 API 的用户相关联的令牌存储库。 可通过为容器应用配置 Azure Blob 存储容器来启用令牌存储。
应用程序代码有时需要代表用户访问这些提供程序中的数据,例如:
在为容器应用创建令牌存储之前,首先需要一个具有专用 Blob 容器的 Azure 存储帐户。
在 Azure 门户中转到你的存储帐户或创建新的存储帐户。
选择“容器”,然后根据需要创建专用 Blob 容器。
选择要在其中创建令牌存储的存储容器所在行末尾的三个点 (•••)。
在“生成 SAS”窗口中输入适合需求的值。
请确保在定义中包含读取、写入和删除权限。
备注
确保跟踪 SAS 到期日期,以确保对容器的访问不会停止。
选择“生成 SAS 令牌 URL”按钮以生成 SAS URL。
复制 SAS URL 并将其粘贴到文本编辑器中,以便在下一步中使用。
生成 SAS URL 后,可以将其作为机密保存在容器应用中。 确保与存储关联的权限包括对 Blob 存储容器有效的权限。
在 Azure 门户中转到你的容器应用。
选择“机密”。
选择“添加”并在“添加机密”窗口中输入以下值。
属性 Value 密钥 输入 SAS 机密的名称。 类型 选择“容器应用机密”。 值 输入从存储容器生成的 SAS URL 值。
使用 containerapp auth update 命令将 Azure 存储帐户关联到容器应用并创建令牌存储。
在本示例中,输入你的值,代替由 <> 括号括起来的占位符标记。
az containerapp auth update \
--resource-group <RESOURCE_GROUP_NAME> \
--name <CONTAINER_APP_NAME> \
--sas-url-secret-name <SAS_SECRET_NAME> \
--token-store true
此外,还可以使用 ARM 模板通过 sasUrlSettingName 属性创建令牌存储。