在Docker Compose中模拟Microsoft登录实现本地开发隔离

问题剖析：本地开发与Microsoft登录的冲突

在开发依赖microsoft身份验证的应用时，一个常见的问题是，当本地应用（如运行在localhost上）尝试重定向到login.microsoftonline.com进行登录时，会遇到aadsts50011错误。这个错误表明请求中指定的回调url与azure ad应用配置的回复url不匹配。

尽管可以通过在Azure AD B2C中为localhost配置相应的回复URL来解决，但这种方法存在以下局限性：

1. 权限限制： 许多开发者可能没有权限修改生产或共享的Azure AD配置。
2. 外部依赖： 即使配置成功，本地应用在登录过程中仍需连接到外部的Microsoft认证服务，这违背了构建一个完全隔离和独立本地开发环境的初衷。对于离线开发或希望快速测试认证流程的场景，这都是一个阻碍。

因此，我们需要一种能够在本地模拟Microsoft登录行为，并始终返回成功响应的解决方案。

解决方案：OpenID Connect 模拟服务器

解决上述问题的核心思路是引入一个本地的OpenID Connect (OIDC) 模拟服务器。这个模拟服务器将充当身份提供者（Identity Provider, IdP），替代login.microsoftonline.com，负责处理本地应用的认证请求。它的主要优势在于：

• 本地化： 完全在本地运行，无需外部网络连接。
• 隔离性： 不依赖真实的Microsoft认证服务，确保开发环境的独立性。
• 可控性： 可以配置其行为，例如始终返回成功响应，从而简化测试。

使用 Soluto OIDC 模拟服务器

Soluto 提供了一个非常方便的Docker镜像 Soluto/oidc-server-mock，它实现了基本的OpenID Connect 功能，可以完美地作为本地开发环境的模拟身份提供者。

1. 集成到 Docker Compose

要将 oidc-server-mock 集成到您的Docker Compose项目中，只需在 docker-compose.yml 文件中添加一个新的服务定义。

以下是一个示例 docker-compose.yml 配置：

千帆大模型平台

面向企业开发者的一站式大模型开发及服务运行平台

0

查看详情

version: '3.8'

services:
  # 您的本地Web应用服务
  your-app:
    build: .
    ports:
      - "8080:80" # 假设您的应用运行在80端口，并映射到主机的8080端口
    environment:
      # 将应用的身份提供者URL指向 OIDC 模拟服务器
      # 确保这个URL与 oidc-server-mock 服务名称匹配
      OIDC_AUTHORITY_URL: http://oidc-server-mock:8080/ # 或者根据您的应用配置，可能是 http://oidc-server-mock
      OIDC_CLIENT_ID: "your-client-id" # 任意客户端ID，模拟服务器通常不验证
      OIDC_CLIENT_SECRET: "your-client-secret" # 任意客户端Secret
      OIDC_REDIRECT_URI: "http://localhost:8080/signin-oidc" # 您的应用回调地址

  # OIDC 模拟服务器服务
  oidc-server-mock:
    image: soluto/oidc-server-mock:latest
    ports:
      - "8081:8080" # 将模拟服务器的8080端口映射到主机的8081端口，以便从主机访问调试
    environment:
      # 可以设置一些环境变量来配置模拟服务器的行为
      # 例如，设置一个默认的用户名和角色，模拟返回的身份信息
      MOCK_OIDC_USERNAME: "devuser@example.com"
      MOCK_OIDC_ROLES: "Developer,Tester"
      MOCK_OIDC_ISSUER: "http://oidc-server-mock:8080" # 模拟服务器的Issuer URL

配置说明：

• oidc-server-mock 服务使用了 soluto/oidc-server-mock:latest 镜像。
• ports 配置将模拟服务器容器内部的 8080 端口映射到宿主机的 8081 端口。这使得您可以通过 http://localhost:8081 从浏览器访问模拟服务器的发现文档或进行调试。
• your-app 服务中的 OIDC_AUTHORITY_URL 环境变量被设置为 http://oidc-server-mock:8080/。这是关键一步，它指示您的本地应用将认证请求发送到Docker网络中的 oidc-server-mock 服务，而不是 login.microsoftonline.com。
• MOCK_OIDC_USERNAME 和 MOCK_OIDC_ROLES 等环境变量允许您自定义模拟服务器在成功认证后返回的身份信息。

2. 配置本地应用

在您的本地Web应用中，您需要修改其OpenID Connect配置，将身份提供者（Issuer/Authority）的URL从login.microsoftonline.com更改为指向您的oidc-server-mock服务。

例如，如果您使用的是ASP.NET Core，在Startup.cs或Program.cs中配置OIDC中间件时，Authority属性应指向模拟服务器：

// 示例：ASP.NET Core OIDC 配置
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
    .AddOpenIdConnect(options =>
    {
        options.Authority = Configuration["OIDC_AUTHORITY_URL"]; // 从环境变量获取，即 http://oidc-server-mock:8080/
        options.ClientId = Configuration["OIDC_CLIENT_ID"];
        options.ClientSecret = Configuration["OIDC_CLIENT_SECRET"];
        options.ResponseType = OpenIdConnectResponseType.Code;
        options.SaveTokens = true;
        options.GetClaimsFromUserInfoEndpoint = true;
        options.RequireHttpsMetadata = false; // 仅限开发环境，因为是HTTP
        options.CallbackPath = "/signin-oidc"; // 您的应用回调路径
        // 其他配置...
    });

Soluto/oidc-server-mock 镜像会自动处理OpenID Connect规范中定义的 .well-known/openid-configuration 发现文档路径，因此您的应用无需特殊配置即可发现模拟服务器的端点。

注意事项与最佳实践

1. 仅限开发环境： oidc-server-mock 旨在用于本地开发和测试。它不提供任何安全保障，不应在生产环境中使用。
2. HTTPS： 真实的OIDC提供者通常强制使用HTTPS。在本地开发时，由于使用的是HTTP，您可能需要在OIDC客户端配置中禁用HTTPS元数据要求（例如，ASP.NET Core中的RequireHttpsMetadata = false）。
3. 自定义响应： oidc-server-mock 允许通过环境变量自定义模拟登录成功后返回的声明（claims），例如用户名、角色等。这对于测试不同用户权限或角色场景非常有用。
4. 完全隔离： 通过这种方式，您的本地开发环境可以完全脱离外部网络，实现真正的独立性，这对于离线开发、CI/CD流水线中的单元/集成测试尤其有价值。
5. 调试： 您可以通过浏览器访问 http://localhost:8081/.well-known/openid-configuration 来查看模拟服务器的OIDC发现文档，确认其是否正常运行。

总结

通过在Docker Compose中引入Soluto/oidc-server-mock作为本地的OpenID Connect模拟服务器，开发者可以有效地解决在本地开发环境中集成Microsoft登录时遇到的AADSTS50011错误和外部依赖问题。这种方法提供了一个隔离、可控且高效的认证测试环境，极大地简化了开发和调试流程，是现代容器化应用本地开发不可或缺的工具。

以上就是在Docker Compose中模拟Microsoft登录实现本地开发隔离的详细内容，更多请关注php中文网其它相关文章！