jwt - 如何验证 Microsoft jwt id

jwt - 如何验证 Microsoft jwt id_token？

转载作者：行者123 更新时间：2023-12-02 00:10:58

24

4

我正在使用从 Microsoft 到客户端的 jwt token 来验证从它到 Web API(服务器)的请求。我可以控制客户端 (js) 和服务器 (Python) 的代码。

在客户端，我使用以下请求获取 token (用户通过租户上的密码/2FA 声明):

`https://login.microsoftonline.com/${TENANT_ID}/oauth2/v2.0/authorize
            ?response_type=id_token+token
            &client_id=${CLIENT_ID}
            &redirect_uri=${redirect_uri}
            &scope=openid+email+profile
            &state=${guid()}
            &nonce=${guid()}`

这里的guid是一个唯一值，TENANT_ID是租户，CLIENT_ID是客户端。

获得此 token 后，我将其作为授权 header 发送，如下所示:

init = {
    headers: {
       'Authorization': `Bearer ${token}`,
    }
}

return fetch(url, init).then(response => {
    return response.json()
})

然后在服务器上，我检索 token 并验证它:

if 'Authorization' in request.headers and request.headers['Authorization'].startswith('Bearer '):
    token = request.headers['Authorization'][len('Bearer '):]
    from authlib.jose import jwt
    claims = jwt.decode(token, jwk)

其中 jwk 是 https://login.microsoftonline.com/{TENANT_ID}/discovery/v2.0/keys 的内容。

整个流程一直有效，直到验证失败，并出现以下错误:

authlib.jose.errors.InvalidHeaderParameterName: invalid_header_parameter_name: Invalid Header Parameter Names: nonce

这表明 token 的 header 包含一个 key nonce(我验证了它)。

查看 Microsoft 关于此的文档，here ， header 上没有对 nonce 的引用 - 仅在有效负载上。

Q1:我做错了什么？

问题 2:假设 Microsoft 将 nonce 放在错误的位置( header 而不是负载)，是否可以在将 nonce 传递给 jose 的身份验证库之前从 header (在服务器端)删除 nonce ？这样做安全吗？

最佳答案

参见:https://robertoprevato.github.io/Validating-JWT-Bearer-tokens-from-Azure-AD-in-Python/

以下是我在我的 API 中验证 Azure AD Id_tokens 的方法:

import base64
import jwt
from cryptography.hazmat.primitives.asymmetric.rsa import RSAPublicNumbers
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization


def ensure_bytes(key):
    if isinstance(key, str):
        key = key.encode('utf-8')
    return key


def decode_value(val):
    decoded = base64.urlsafe_b64decode(ensure_bytes(val) + b'==')
    return int.from_bytes(decoded, 'big')


def rsa_pem_from_jwk(jwk):
    return RSAPublicNumbers(
        n=decode_value(jwk['n']),
        e=decode_value(jwk['e'])
    ).public_key(default_backend()).public_bytes(
        encoding=serialization.Encoding.PEM,
        format=serialization.PublicFormat.SubjectPublicKeyInfo
    )


# obtain jwks as you wish: configuration file, HTTP GET request to the endpoint returning them;
jwks = {
    "keys": [
        {
            "kty": "RSA",
            "use": "sig",
            "kid": "piVlloQDSMKx...",
            "x5t": "piVlloQDSMKx...",
            "n": "0XhhwpmEpN-jDBapnzhF...",
            "e": "AQAB",
            "x5c": [
                "MIIDBTCCAe2gAwIBAgIQMCJcg...."
            ],
            "issuer": "https://login.microsoftonline.com/{tenant}/v2.0"
        }
    ]
}

# configuration, these can be seen in valid JWTs from Azure B2C:
valid_audiences = ['dd050a67-ebfd-xxx-xxxx-xxxxxxxx'] # id of the application prepared previously

class InvalidAuthorizationToken(Exception):
    def __init__(self, details):
        super().__init__('Invalid authorization token: ' + details)


def get_kid(token):
    headers = jwt.get_unverified_header(token)
    if not headers:
        raise InvalidAuthorizationToken('missing headers')
    try:
        return headers['kid']
    except KeyError:
        raise InvalidAuthorizationToken('missing kid')



def get_jwk(kid):
    for jwk in jwks.get('keys'):
        if jwk.get('kid') == kid:
            return jwk
    raise InvalidAuthorizationToken('kid not recognized')

def get_issuer(kid):
    for jwk in jwks.get('keys'):
        if jwk.get('kid') == kid:
            return jwk.get('issuer')
    raise InvalidAuthorizationToken('kid not recognized')

def get_public_key(token):
    return rsa_pem_from_jwk(get_jwk(get_kid(token)))


def validate_jwt(jwt_to_validate):
    try:
        public_key = get_public_key(jwt_to_validate)
    issuer = get_issuer(kid)


        options = {
            'verify_signature': True,
            'verify_exp': True,  # Skipping expiration date check
            'verify_nbf': False,
            'verify_iat': False,
            'verify_aud': True  # Skipping audience check
        }

        decoded = jwt.decode(jwt_to_validate,
                             public_key,
                             options=options,
                             algorithms=['RS256'],
                             audience=valid_audiences,
                             issuer=issuer)

        # do what you wish with decoded token:
        # if we get here, the JWT is validated
        print(decoded)

    except Exception as ex:
        print('The JWT is not valid!')
        return False
    else:
        return decoded
        print('The JWT is valid!')

关于jwt - 如何验证 Microsoft jwt id_token？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59151559/

24

4

0

文章推荐： nestjs:当我使用 GraphQL 时如何抛出 AuthenticationError

文章推荐： javascript - Redux 传奇 : Await Promise

文章推荐： git - 为什么 git pull origin master 创建 merge 提交

文章推荐： Flutter 避免多次运行 FutureBuilder

【JWT】JWT 整合
1. JWT 简介 JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信
jwt - JWT 可以与移动应用程序一起使用吗？JWT 是 session 替代品吗？
关于JWT(json web token)的一些问题: 可以在手机上使用吗？在我看来，它适用于移动设备，但它是否是一个很好的身份验证解决方案？如果不是，还有哪些其他解决方案可用于移动应用程序和服务器
jwt - JWT 中的秘钥是什么
我无法清楚地掌握 JWT 是如何工作的，尤其是。签名部分。一旦客户端提交正确的用户名和密码，身份验证服务器就会创建一个 JWT token ，其中包含 header 、有效负载/声明和签名。问题
jwt - jwt.io 从哪里获取 JWT token 的公钥？
我正在通过 jwt.io(在调试器部分)解码 JWT token 以查看标题、有效负载。令人惊讶的是，它还验证了，我可以看到它(jwt.io 调试器)也能够检索公钥。所以我的问题是:JWT toke
azure - 如何使用 validate-jwt 验证 jwt token 时检查错误(以前为 : How to use a custom built jwt in validate-jwt? )
我尝试使用 validate-jwt 策略限制使用 JWT token 对 REST API 的访问。以前从来没有这样做过。这是我的入站策略(取自简单 token 验证here):
jwt - Spring Security 无状态 JWT 身份验证 - 如何获取其他 jwt 字段？
我们有一个微服务架构，使用 JWT 在服务之间进行身份验证。我希望轻松地从 JWT 中获取更多字段。目前实际上只有权限由 Spring Security 直接公开。我们的边缘服务/API 网关创建以
c# - 使用 jose-jwt 和 jwt.io 生成的 JWT token
我正在尝试在 .NET 中生成 JWT token 。起初，我尝试使用“System.IdentityModel.Tokens.Jwt”，但它在 token 验证期间引起了问题，所以我切换到“jose
jwt - 手动计算 JWT 签名永远不会输出真正的签名
我已经阅读了很多关于 stackOverflow 和 jwt 文档的问题。据我了解，现在我应该如何计算 token : header = { "alg": "HS256", "typ": "J
jwt - JWT token 接受的最大过期时间是多少
我想知道我可以设置的 JWT token 到期的最大值是多少。谢谢! 最佳答案没有关于过期时间的规定。它主要取决于使用 token 的上下文。 RFC7519 section 4 : The se
jwt - 如何在多个子域之间共享 JWT token ？
我在子域上托管了单独的身份验证应用程序和多个 spa 应用程序，我想将生成的 JWT token (当用户从身份验证应用程序登录时生成)从身份验证应用程序共享到子域下托管的其他应用程序。我怎样才能
jwt - 如何使用在线工具手动验证 JWT 签名
据我所知，验证 JWT 签名是一个直接的过程。但是当我使用一些在线工具为我执行此操作时，它不匹配。如何在不使用 JWT 库的情况下手动验证 JWT 签名？我需要一种快速方法(使用可用的在线工具)来演示
jwt - JWT.io 是如何知道我的公钥的？
我的 JSON 网络 token (JWT): eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6InU0T2ZORlBId0VCb3NIanRyYXVPYlY4
jwt - 使用 JWT 的角色
我是 JWT 的新手。我对 JWT 进行了一些研究，并了解到它的框架是“header.claims.signature”。考虑一个简单的场景，如下所示: 客户通过身份验证客户可能具有(一个或多个)
jwt - JWT token 的最大大小是多少？
我需要知道的最大长度 JSON Web Token (JWT) 在规范中没有相关信息。难道，长度没有限制？最佳答案我也一直在努力寻找这个。我想说 - 尝试确保它低于 7kb。虽然 JWT 在规
jwt - JWT token 中允许使用哪些字符？
我看到 JWT token 由 A-Z、a-Z、0-9 和特殊字符 - 和 _ 组成。我想知道 JWT token 中允许的字符列表？最佳答案来自JWT introduction :“输出是三个用
jwt - Keycloak jwt 已过期
我正在使用 Jhipster 创建一个应用程序。为此，我想使用 Keycloak 身份验证服务器。但是，一旦我登录，就会收到以下消息:Statut : Internal Server Error (内
jwt - Keycloak jwt 已过期
我正在使用 Jhipster 创建一个应用程序。为此，我想使用 Keycloak 身份验证服务器。但是，一旦我登录，就会收到以下消息:Statut : Internal Server Error (内
jwt - 我可以使用 jwt 来存储用户的购物车商品直到结账吗？
我在我的网站上使用 MEAN 堆栈，用户可以在其中将带有玩家信息的事件(2-4/事件)添加到购物车。有时他们会购买多个事件。我希望此信息不会受到用户操纵(如果他们使用控制台，则在结帐前更改信息)，并且
jwt - 为什么 JWT 被分成三个点分隔的部分？
一个 JSON Web token (JWT) 被分成三个 Base-64 编码的部分，这些部分由句点 (“.”) 连接起来。前两部分对 JSON 对象进行编码，第一部分是详细说明签名和散列算法的 h
django - JWT token expire_delta 和 JWT Refresh Expiration Delta django jwt 的区别
我正在使用 django rest 框架 JWT 库 http://getblimp.github.io/django-rest-framework-jwt/ JWT token 过期有两个设置 JW

首页

博学

6Ren·AI

商城

jwt - 如何验证 Microsoft jwt id_token？