首先明确：你的需求是可行的，对应的是Azure AD提供的 Resource Owner Password Credentials (ROPC) 授权流——这是少数可以直接通过用户名密码换取令牌、无需跳转Azure AD登录页的OAuth2.0流，完美匹配你已有自定义登录页的场景。不过先敲个警钟：微软并不推荐在大多数现代应用中使用ROPC，因为它要求应用直接处理用户明文密码，存在安全风险，仅建议用于遗留系统迁移这类无法采用更安全流程（如授权码流）的特殊场景。

下面是具体实现步骤：

一、Azure AD应用注册配置 #

• 登录Azure门户，注册一个Web类型的应用。
• 进入应用的认证页面，展开「高级设置」，开启「允许使用用户名密码登录」（这是启用ROPC流的核心开关）。
• 切换到API权限页面，添加所需的委派权限（比如User.Read用于获取用户基本信息），如果需要访问租户内所有用户的信息，记得完成管理员同意。
• 生成客户端凭据：在证书和密码页面创建一个客户端密钥，务必保存好密钥值（后续代码会用到，丢失后无法找回）。

二、ASP.NET Web应用中的代码实现 #

推荐使用官方的Microsoft.Identity.Client（MSAL）库处理令牌请求，旧版ADAL已被弃用，不建议再使用。

1. 安装依赖 #

在NuGet包管理器中安装Microsoft.Identity.Client包。

2. 配置应用参数 #

在appsettings.json中添加Azure AD相关配置项：

"AzureAd": {
  "ClientId": "你的应用注册ClientId",
  "ClientSecret": "你生成的客户端密钥",
  "TenantId": "你的租户ID（可以是租户域名或GUID）",
  "Authority": "https://login.microsoftonline.com/你的租户ID",
  "Scopes": "https://graph.microsoft.com/User.Read openid profile email"
}

3. 自定义登录逻辑实现 #

在你的登录控制器中，编写处理用户名密码提交的Action：

using Microsoft.Identity.Client;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.Cookies;
using System.Security.Claims;

public class AccountController : Controller
{
    private readonly IConfiguration _configuration;

    public AccountController(IConfiguration configuration)
    {
        _configuration = configuration;
    }

    [HttpPost]
    public async Task<IActionResult> Login(LoginViewModel model)
    {
        if (!ModelState.IsValid)
        {
            return View(model);
        }

        try
        {
            // 初始化MSAL客户端
            var confidentialClient = ConfidentialClientApplicationBuilder
                .Create(_configuration["AzureAd:ClientId"])
                .WithClientSecret(_configuration["AzureAd:ClientSecret"])
                .WithAuthority(new Uri(_configuration["AzureAd:Authority"]))
                .Build();

            // 调用ROPC流获取令牌（包含访问令牌、ID令牌）
            var result = await confidentialClient.AcquireTokenByUsernamePassword(
                _configuration["AzureAd:Scopes"].Split(' '),
                model.Username,
                model.Password)
                .ExecuteAsync();

            // 基于ID令牌中的声明创建用户身份
            var claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(
                result.Claims,
                CookieAuthenticationDefaults.AuthenticationScheme));

            // 将用户身份写入Cookie，维持会话状态
            await HttpContext.SignInAsync(
                CookieAuthenticationDefaults.AuthenticationScheme,
                claimsPrincipal,
                new AuthenticationProperties { IsPersistent = model.RememberMe });

            return RedirectToAction("Index", "Home");
        }
        catch (MsalException ex)
        {
            // 处理令牌请求失败场景：用户名密码错误、用户开启MFA、权限不足等
            ModelState.AddModelError(string.Empty, $"登录失败: {ex.Message}");
            return View(model);
        }
    }
}

4. 配置Cookie认证中间件 #

在Program.cs中添加Cookie认证相关配置，确保中间件顺序正确：

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options =>
    {
        options.LoginPath = "/Account/Login";
        options.ExpireTimeSpan = TimeSpan.FromHours(8);
    });

// 注意中间件顺序：先认证，再授权
app.UseAuthentication();
app.UseAuthorization();

三、关键注意事项 #

• MFA兼容性问题：ROPC流完全不支持多因素认证，如果用户账号开启了MFA，令牌请求会直接失败，这是该流的核心局限性。
• 安全风险提示：应用直接处理用户明文密码，一旦应用被攻破，用户密码可能泄露，不符合现代零信任安全模型。如果业务场景允许，优先考虑更安全的授权码流。
• 令牌合法性验证：拿到ID令牌后，建议额外验证其签名、发行者、受众等声明，确保令牌由合法的Azure AD颁发，避免伪造风险。
• 权限最小化：请求的Scopes要严格控制，只申请业务必需的权限，降低权限泄露带来的风险。

内容的提问来源于stack exchange，提问作者Paulo Luz