MAUI 实现 OAuth2 登录,核心是“不直接在客户端处理敏感凭据”,而是借助系统浏览器(或 WebView)跳转到授权服务器完成认证,再通过重定向回调获取授权码或令牌。官方推荐方式是使用 Microsoft.Identity.Client(MSAL) 库,它原生支持 MAUI,能自动处理浏览器唤起、重定向拦截、令牌缓存和刷新。
用 MSAL + Azure AD / Microsoft 登录(最稳妥)
这是 MAUI 官方文档主推路径,适合登录微软系账号(Outlook、Hotmail、企业 Azure AD 账户)。
安装 NuGet 包:Microsoft.Identity.Client(v4.60+ 支持 MAUI) 在 Azure Portal 注册应用,配置平台为 Mobile and desktop applications,填入重定向 URI,如:
msal<your-client-id>://auth</your-client-id>MAUI 各平台需额外配置: Android:在
AndroidManifest.xml添加
<activity></activity>声明,匹配你的重定向 URI scheme iOS:在
Info.plist配置
CFBundleURLTypes,scheme 设为
msal<client-id></client-id>Windows:无需额外配置(默认支持系统 Web 身份验证) 代码示例(登录按钮点击事件):
var pca = PublicClientApplicationBuilder
.Create("your-client-id")
.WithRedirectUri("msalyourclientid://auth")
.WithIosKeychainSecurityGroup("com.microsoft.adalcache") // iOS 必填
.Build();
var accounts = await pca.GetAccountsAsync();
var authResult = await pca.AcquireTokenInteractive(new[] { "User.Read" })
.ExecuteAsync(); // 自动唤起系统浏览器
string accessToken = authResult.AccessToken;
string userId = authResult.Account.Username;
对接其他 OAuth2 提供商(Google、GitHub、Auth0 等)
MSAL 默认只深度集成 Microsoft/Azure AD。若要接入 Google 或 GitHub,有两条路:
推荐:用 WebAuthenticator(.NET MAUI 内置)——轻量、跨平台、不依赖第三方 SDK,适合标准 OAuth2 授权码流程 自己封装 WebView + URL 拦截(不推荐,安全风险高、体验差、iOS 限制多)WebAuthenticator 示例(以 GitHub 为例):
注册 GitHub OAuth App,设置 Authorization callback URL,例如:https://yourdomain.com/callback(注意:必须是 HTTPS,本地调试可用
https://127.0.0.1/callback+ 自签名证书,或改用测试域名) 调用代码:
var authUrl = new Uri(
$"https://github.com/login/oauth/authorize?client_id=xxx&scope=user:email&redirect_uri=https://127.0.0.1/callback&response_type=code");
var callbackUrl = new Uri("https://127.0.0.1/callback");
var result = await WebAuthenticator.Default.AuthenticateAsync(authUrl, callbackUrl);
if (result != null)
{
string code = HttpUtility.ParseQueryString(result.Data).Get("code");
// 拿 code 向 GitHub Token Endpoint 换 access_token(服务端做更安全,若必须客户端换,请用 HttpClient + POST)
}
⚠️ 注意:GitHub 不允许 localhost 回调用于生产,正式环境务必用真实 HTTPS 域名 + 后端中转换取 token。
关键细节与避坑点
不要在客户端硬编码 client_secret —— MAUI 是公开客户端(public client),OAuth2 规范禁止暴露密钥;所有需要 secret 的步骤(如换 token)应由你自己的后端完成 iOS 上ASWebAuthenticationSession要求 Info.plist 启用
LSApplicationQueriesSchemes并添加
msauth,否则跳转失败 Android 12+ 要求
android:exported="true"显式声明 Activity,否则启动浏览器失败 令牌建议存入
SecureStorage(MAUI 内置),别用普通 Preferences 用户登出 ≠ 清除本地 token,应调用 IdP 的 logout endpoint(如
https://login.microsoftonline.com/.../oauth2/v2.0/logout)并清空本地缓存
要不要自己写 WebView 登录?
不建议。WebView 无法访问系统 Cookie、无法触发 SSO、易被钓鱼、iOS 会拦截第三方 Cookie 导致登录失败、且不符合 OAuth2 最佳实践(RFC 8252)。MAUI 的
WebAuthenticator和
MSAL已覆盖绝大多数场景,够用且安全。
基本上就这些。选对工具(MSAL 或 WebAuthenticator)、配好平台参数、把敏感逻辑放后端,MAUI 的 OAuth2 登录并不复杂,但容易忽略平台侧配置细节。
