快速入门：在示例 Web 应用中登录用户

• 在 Microsoft Entra 管理中心注册一个新应用，并配置为仅适用于此组织目录中的帐户。 有关更多详细信息 ，请参阅注册应用程序 。 在应用程序 概述 页中记录以下值供以后使用：
  • 应用程序（客户端）ID
  • 目录（租户）ID
• 使用 Web 平台配置添加以下重定向 URI。 有关更多详细信息 ，请参阅如何在应用程序中添加重定向 URI 。
  • 重定向 URI：http://localhost:3000/auth/redirect
  • 前端通道注销 URL： https://localhost:5001/signout-callback-oidc
• 将客户端密码添加到应用注册。 不要 在生产应用中使用客户端机密。 请改用证书或联合凭据。 有关详细信息，请参阅 向应用程序添加凭据。
• Node.js

• 在 Microsoft Entra 管理中心注册一个新应用，并配置为仅适用于此组织目录中的帐户。 有关更多详细信息 ，请参阅注册应用程序 。 在应用程序 概述 页中记录以下值供以后使用：
  • 应用程序（客户端）ID
  • 目录（租户）ID
• 使用 Web 平台配置添加以下重定向 URI。 有关更多详细信息 ，请参阅如何在应用程序中添加重定向 URI 。
  • 重定向 URI：https://localhost:5001/signin-oidc
  • 前端通道注销 URL： https://localhost:5001/signout-callback-oidc
• 将自签名证书添加到应用注册。 请勿 在生产应用中使用自签名证书。 请改用来自受信任的证书颁发机构或联合凭据的证书。 有关详细信息，请参阅 向应用程序添加凭据。 使用以下命令创建证书：

  dotnet dev-certs https -ep ./certificate.crt --trust
  

• .NET 8.0 SDK 的最低要求

• 在 Microsoft Entra 管理中心注册一个新应用，并配置为仅适用于此组织目录中的帐户。 有关更多详细信息 ，请参阅注册应用程序 。 在应用程序 概述 页中记录以下值供以后使用：
  • 应用程序（客户端）ID
  • 目录（租户）ID
• 使用 Web 平台配置添加以下重定向 URI。 有关更多详细信息 ，请参阅如何在应用程序中添加重定向 URI 。
  • 重定向 URI：http://localhost:5000/getAToken
• Python 3 +
• 将客户端密码添加到应用注册。 不要 在生产应用中使用客户端机密。 请改用证书或联合凭据。 有关详细信息，请参阅 向应用程序添加凭据。

• 下载 .zip 文件，然后将其解压缩到名称长度少于 260 个字符的文件路径，或克隆存储库：

• 若要克隆示例，请打开命令提示符并导航到要创建项目的位置，然后输入以下命令：

  git clone https://github.com/Azure-Samples/ms-identity-node.git
  

• 下载 .zip 文件，然后将其解压缩到名称长度少于 260 个字符的文件路径，或克隆存储库：

• 若要克隆示例，请打开命令提示符并导航到要创建项目的位置，然后输入以下命令：

  git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git
  

• 下载 Python 代码示例 ，然后将其提取到名称长度少于 260 个字符的文件路径，或克隆存储库：

• 若要克隆示例，请打开命令提示符并导航到要创建项目的位置，然后输入以下命令：

git clone https://github.com/Azure-Samples/ms-identity-docs-code-python/

在 ms-identity-node 文件夹中，打开 App/.env 文件，然后替换以下占位符：

进行更改后，文件应类似于以下代码片段：

CLOUD_INSTANCE=https://login.partner.microsoftonline.cn/
TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
CLIENT_SECRET=A1b-C2d_E3f.H4...

REDIRECT_URI=http://localhost:3000/auth/redirect
POST_LOGOUT_REDIRECT_URI=http://localhost:3000

GRAPH_API_ENDPOINT=https://microsoftgraph.chinacloudapi.cn/

EXPRESS_SESSION_SECRET=6DP6v09eLiW7f1E65B8k

1. 在 IDE 中，打开包含示例的项目文件夹，ms-identity-docs-code-dotnet\web-app-aspnet。

2. 打开 appsettings.json，并将文件内容替换为以下代码片段;

   {
   "AzureAd": {
   "Instance": "https://login.partner.microsoftonline.cn/",
   "TenantId": "Enter the tenant ID obtained from the Microsoft Entra admin center",
   "ClientId": "Enter the client ID obtained from the Microsoft Entra admin center",
   "ClientCredentials": [
       {
       "SourceType": "StoreWithThumbprint",
       "CertificateStorePath": "CurrentUser/My",
       "CertificateThumbprint": "Enter the certificate thumbprint obtained the Microsoft Entra admin center"
       }   
   ],
   "CallbackPath": "/signin-oidc"
   },
   "DownstreamApis": {
       "MicrosoftGraph" :{
       "BaseUrl": "https://microsoftgraph.chinacloudapi.cn/v1.0/",
       "RelativePath": "me",
       "Scopes": [ 
           "https://microsoftgraph.chinacloudapi.cn/user.read"
       ]
   }
   },
   "Logging": {
       "LogLevel": {
       "Default": "Information",
       "Microsoft.AspNetCore": "Warning"
       }
   },
   "AllowedHosts": "*"
   }
   

   • TenantId - 应用程序注册所在租户的标识符。 将引号中的文本替换为先前在注册应用程序的概述页面中记录的 Directory (tenant) ID。
   • ClientId - 应用程序的标识符，也称为客户端。 将引号中的文本替换为先前在注册应用程序的概述页中记录的 Application (client) ID 值。
   • ClientCertificates - 自签名证书用于应用程序中的身份验证。 将 CertificateThumbprint 的文本替换为先前保存的证书拇指指纹。

1. 打开在 IDE 中下载的应用程序，并导航到示例应用的根文件夹。

   cd flask-web-app
   

2. 使用 .env.sample.entra-id 作为指南，在项目的根文件夹中创建 .env 文件。

   # The following variables are required for the app to run.
   CLIENT_ID=<Enter_your_client_id>
   CLIENT_SECRET=<Enter_your_client_secret>
   AUTHORITY=<Enter_your_authority_url>
   

   • 将 CLIENT_ID 的值设置为注册应用程序的 应用程序（客户端）ID，可以在概述页上找到。
   • 请将已注册应用程序的证书和机密中创建的客户端密钥的值设为CLIENT_SECRET。
   • 将AUTHORITY的值设置为https://login.partner.microsoftonline.cn/<TENANT_GUID>。 目录（租户）ID 可在应用注册概览页面找到。

   环境变量在 app_config.py中引用，并保存在单独的 .env 文件中，使其远离源代码管理。 提供的 .gitignore 文件可防止签入 .env 文件。

1. 若要启动服务器，请从项目目录中运行以下命令：

   cd App
   npm install
   npm start
   

2. 转到 http://localhost:3000/ 。

3. 选择“登录”以启动登录过程。

首次登录时，系统会提示你允许应用程序将你登录并访问你的个人资料。 成功登录后，你将被重定向回应用程序主页。

应用的工作原理

该示例在 localhost 端口 3000 上托管 Web 服务器。 当 Web 浏览器访问此地址时，应用将呈现主页。 用户选择“登录”后，应用将通过 MSAL 节点库生成的 URL 将浏览器重定向到 Microsoft Entra 登录屏幕。 用户同意后，浏览器会将用户与 ID 和访问令牌一起重定向回应用程序主页。

1. 在项目目录中，使用终端输入以下命令：

   cd ms-identity-docs-code-dotnet/web-app-aspnet
   dotnet run
   

2. 复制终端中显示的 https URL，例如 https://localhost:5001，并将其粘贴到浏览器中。 建议使用专用或隐身浏览器会话。

3. 按照步骤操作，并输入必要的详细信息，以使用 Microsoft 帐户登录。 系统会要求你提供电子邮件地址，以便可以向你发送一次性密码。 出现提示时输入代码。

4. 应用程序请求权限，以便继续访问您已授权的数据，并且能够登录您的账户并读取您的个人资料。 选择 “接受”。 下面的屏幕截图将出现。 这表明你已登录到应用程序，并且正在通过 Microsoft Graph API 查看你的个人资料详细信息。

   

从应用程序注销

1. 在页面右上角找到 注销 链接，然后选择它。
2. 系统会提示你选择要从中注销的帐户。 选择用于登录的帐户。
3. 此时会显示一条消息，指示你已注销。现在可以关闭浏览器窗口。

1. 为应用创建虚拟环境：

   • 对于 Windows，请运行以下命令：

   py -m venv .venv
   .venv\scripts\activate
   

   • 对于 macOS/Linux，请运行以下命令：

   python3 -m venv .venv
   source .venv/bin/activate
   

2. 使用 pip 安装必备组件：

   pip install -r requirements.txt
   

3. 从命令行运行应用。 确保应用与之前配置的重定向 URI 在同一端口上运行。

   flask run --debug --host=localhost --port=5000
   

4. 复制终端中显示的 https URL，例如， https://localhost:5000将其粘贴到浏览器中。 建议使用专用或隐身浏览器会话。

5. 按照步骤操作，并输入必要的详细信息，以使用 Microsoft 帐户登录。 系统会要求你提供登录的电子邮件地址和密码。

6. 该应用程序将请求权限，以保持访问你允许访问的数据、登录和阅读配置文件的权限，如屏幕截图中所示。 选择 “接受”。

   

7. 将显示以下屏幕截图，指示已成功登录到应用程序。

应用的工作原理

下图演示了示例应用的工作原理：

1. 应用程序使用该 identity 包 从Microsoft标识平台获取访问令牌。 此包基于用于 Python 的 Microsoft 身份验证库（MSAL）构建，以简化 Web 应用中的身份验证和授权。

2. 在上一步中获取的访问令牌用作持有者令牌，用于在调用 Microsoft Graph API 时对用户进行身份验证。

• 了解如何在教程中生成 Node.js Web 应用以登录用户并调用 Microsoft Graph API ：在 Node.js 和 Express Web 应用中登录用户并获取 Microsoft Graph 的令牌。

• 通过系列 教程构建此 ASP.NET Web 应用，了解如何将应用程序注册到Microsoft标识平台。
• 快速入门：使用Microsoft标识平台保护 ASP.NET 核心 Web API。
• 快速入门：将 ASP.NET Web 应用部署到 Azure 应用服务

• 了解如何构建一个 Python Web 应用，在教程：登录用户的 Web 应用中实现用户登录并调用受保护的 Web API。