Токен аутентификации веб-приложения Azure в серверной части ⇐ Php

[Anonymous]

У меня есть веб-приложение PHP Azure для Linux, развернутое с включенной аутентификацией Azure AD. Это работает нормально. В моем приложении есть страница администратора, и я хотел бы запретить доступ пользователям, которые не входят в список авторизованных пользователей. Я пытался сделать это в бэкэнд-коде, но безуспешно. Однако эквивалентный код внешнего интерфейса работает нормально. Я пытаюсь понять, почему это так. Серверная часть также имеет доступ к API Microsoft Graph через субъект-службу приложения, поэтому я хотел использовать его, чтобы проверить, находится ли пользователь в определенной группе Azure AD.
Я удалил все ограничения доступа на основе IP-адреса, поскольку я определил, что приложение не может получить доступ к самому себе, если они установлены.
Это самый простой вариант использования, который я мог создать. Я могу захватить токен AppServiceAuthSession и использовать его. В приведенном ниже коде есть блок JavaScript, который выполняется во внешнем интерфейсе, и я убедился, что он делает то, что я хочу. Но мне интересно, почему эквивалентный PHP-код, работающий на серверной стороне, возвращает HTTP 403 Access Denied? Есть ли способ сделать это из бэкэнда? Все сайты, которые я нашел на данный момент, похоже, указывают на то, что этот подход должен работать.





Access Control



User Information


async function getUserInfo() {
try {
const response = await fetch('/.auth/me', {
method: 'GET',
credentials: 'include', // Include cookies in the request
headers: {
'Content-Type': 'application/json'
}
});

if (!response.ok) {
throw new Error(`HTTP error! status: ${response.status}`);
}

const data = await response.json();
const userInfo = data[0]; // Assuming the response is an array with user info as the first element

const userId = userInfo.user_id.toLowerCase();
const allowedEmails = [
'me@example.com',
'myself@example.com',
'i@example.com'
];
if (!allowedEmails.includes(userId)) {
throw new Error('403 Forbidden: You are not authorized to access this page');
}
document.getElementById('user-info').innerHTML = `
EMail: ${userInfo.user_id}
Name: ${userInfo.user_claims.find(claim => claim.typ === 'name').val}
`;
} catch (error) {
document.getElementById('error-message').innerHTML = `
Error: ${error.message}
`;
}
}

// Call the function to get user info when the page loads
window.onload = getUserInfo;









Подробнее здесь: https://stackoverflow.com/questions/790 ... in-backend