个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我正在编写一些 java 代码并遇到了问题。我们希望在 Java 应用程序中验证 Azure AD 颁发的 JWT token 。
除了签名验证之外,这个示例大部分工作正常。一定有什么东西丢失了,但我看不出那可能是什么。
--
获取测试 token
import adal
import requests
import pprint
# Bas snowflake test
tenant_id = "tenant-id-12312-123-123-123"
client_id = "valid-client-id-123-123-123"
resource = "https://graph.microsoft.com" # the resource you want to access
# Create an instance of ADAL authentication context
authority_url = "https://login.microsoftonline.com/" + tenant_id
context = adal.AuthenticationContext(authority_url)
# Obtain an authorization code with the user's credentials
authorization_code = context.acquire_user_code(resource, client_id)
# Print the message and ask the user to perform 2FA verification
print(authorization_code['message'])
# Ok
token = context.acquire_token_with_device_code(resource, authorization_code, client_id)
pprint.pprint(token)
pom.xml
<dependency>
<groupId>com.microsoft.azure</groupId>
<artifactId>azure-storage</artifactId>
<version>8.6.6</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>4.3.0</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>jwks-rsa</artifactId>
<version>0.22.0</version>
</dependency>
实现
boolean validated = false;
try {
log.info(String.format("tokenBody.token: %s", tokenBody.token));
DecodedJWT jwt = JWT.decode(tokenBody.token);
log.info(String.format("jwt.getKeyId(): %s", jwt.getKeyId()));
JwkProvider provider = new UrlJwkProvider(new URL("https://login.microsoftonline.com/tenant-id-12312-123-123-123/discovery/v2.0/keys"));
Jwk jwk = provider.get(jwt.getKeyId());
log.info(String.format("jwk.getPublicKey(): %s", jwk.getPublicKey()));
Algorithm algorithm = Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey(), null);
List<Algorithm> algorithms = List.of(
Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey(), null),
Algorithm.RSA512((RSAPublicKey) jwk.getPublicKey(), null),
Algorithm.RSA384((RSAPublicKey) jwk.getPublicKey(), null),
Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey()),
Algorithm.RSA512((RSAPublicKey) jwk.getPublicKey()),
Algorithm.RSA384((RSAPublicKey) jwk.getPublicKey())
);
algorithms.forEach(a -> {
try {
log.info("Verifying JWT ...");
a.verify(jwt);
log.info("JWT verified!");
} catch (Exception ignored) {
log.info("JWT verification failed");
} finally {
log.info("----");
}
});
log.info(String.format("jwt.getSignature(): %s", jwt.getSignature()));
algorithm.verify(jwt);
validated = true;
} catch (MalformedURLException e) {
log.error("malformed url exception", e);
} catch (JwkException e) {
log.error("jwk exception", e);
} catch (SignatureVerificationException e) {
log.error("signature verification", e);
} catch (Exception e) {
log.error("other error", e);
}
但继续观察
signature verification
com.auth0.jwt.exceptions.SignatureVerificationException: The Token's Signature resulted invalid when verified using the Algorithm: SHA256withRSA
最佳答案
Note that: The access token generated for Microsoft Graph API cannot be validated as the token is not meant for the application.
我创建了一个 Azure AD 应用程序并使用以下端点生成了身份验证代码:
https://login.microsoftonline.com/TenantID/oauth2/authorize?
&client_id=ClientID
&response_type=code
&redirect_uri=https://jwt.ms
&response_mode=query
&scope=https://graph.microsoft.com/.default
&state=12345
现在,我使用以下参数生成了访问 token :
https://login.microsoftonline.com/TenantID/oauth2/v2.0/token
client_id:ClientID
grant_type:authorization_code
scope:https://graph.microsoft.com/.default
code:code
redirect_uri:https://jwt.ms
client_secret:ClientSecret
当我解码访问 token 时,我得到了如下相同的错误:
aud 是 https://graph.microsoft.com 并使用 RSA256 算法
要解决该错误,请尝试以下操作:
在 Azure AD 应用程序中公开 API 并添加范围:
通过在 API 权限中添加范围来授予管理员同意:
Note that: Make use of the scope
api://ClientID/access_as_userto resolve the issue.
我使用以下端点生成了身份验证代码:
https://login.microsoftonline.com/TenantID/oauth2/authorize?
&client_id=ClientID
&response_type=code
&redirect_uri=https://jwt.ms
&response_mode=query
&scope=api://ClientID/access_as_user
&state=12345
我通过使用范围作为 api://ClientID/access_as_user 生成了访问 token ,如下所示:
当我解码上述访问 token 时,签名已成功验证,如下所示:
引用文献:
spring security - Verify Signature with Azure AD - Stack Overflow通过 junnas
java - Validation of Azure AD token signature is invalid - Stack Overflow作者:卡尔·赵
关于azure - 使用 Azure AD 租户 ID - 以及为 'app registration' 颁发的有效 token 。签名验证失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/76009655/
28
4
0
我今天被 gcm 弄糊涂了。我不知道我的 registrationid 是否正确。我在以 APA 开头的 registrationid 前面有字符和冒号。模式是 xXXXxxX:APA...。我使用此
要求用户提供电子邮件地址,以便我们向他/她发送一封电子邮件以完成注册过程有什么好处?它当然无法抵御 (D)DoS 攻击,而且我看不出它如何提高安全性。 最佳答案 我想到的第一件事是它允许他们实际确认帐
任何支持使用 Web 服务或类似功能进行域名注册的域名注册商都不会告诉您成为经销商? 我没有注册那么多域名,我对支付经销商费用不感兴趣。 如果我可以在不支付预付费用的情况下成为经销商,那就没问题了。
我正在使用 Jersey 创建一个 Web 服务。 该服务应处理用户注册。我的计划是获取一个包含用户名和密码的注册请求,将它们都存储在 MySql 数据库中,并在每次用户想要登录时获取它。 我读过您应
iOS9的当前API状态更改为-setKeepAliveTimeout:handler:已过时。 到目前为止,这是iOS上的VoIP SIP应用程序可以维持其在SIP服务器上注册的唯一方法。 LinP
好吧,让我先解释一下我的情况: 我是“主办”事件的组织的一部分。例如,我们有一个年度训练营,溜冰,掷骰子/足球比赛,晚餐等。 现在他们要我设计他们的网站。我的习惯通常是先将其放在纸上,因此我正在尝试这
我知道最终无法完成。 但是,有哪些选择: a)限制人员创建多个帐户的选项, b)增加检测多个帐户/人的机会 类似博客的网络服务? (人们可以注册自己的博客) 更新: 我认为“限制选择权”已经很好地回答
我读到,用户觉得必须验证电子邮件才能完成简单的注册很烦人,但是删除这个额外的步骤并使用验证码来处理机器人会导致用户无法重新获得对其的控制权的不舒服的情况如果他们忘记了密码。 那么,该怎么办呢?除了电子
我想知道用户注册的最佳实践。我倾向于将站点注册存储在单独的注册表中,然后在通过电子邮件确认注册后将数据传输到用户表中。 这样做的好处是从用户表中读取的内容不会因从未激活的注册而困惑。另一个好处是电子邮
我有兴趣在注册表中添加其他字段,例如昵称和出生日期。 我正在使用 django-registration 0.8,我打算编写自己的自定义表单。我看过 django-profiles,我认为它的隐私控制
如何设置需要由管理员手动激活帐户的 django-registration? 在帐户持有人单击电子邮件中的链接后,我希望向管理员发送一封电子邮件,他还需要单击一个链接,然后该帐户才会处于事件状态。 d
在我的应用程序中,我有 AUTH_PROFILE_MODULE设置为 users.UserProfile .此 UserProfile 具有功能 create当新用户注册时应该调用它,然后创建 Use
我正在使用 django-registration,我正在尝试连接到它的信号以自动创建一个 UserProfile。 信号定义: from django.dispatch import Signal
我关注了 this page建立一个django注册网站。它非常棒,注册和身份验证都很好地包装了。 但是,它没有告诉我,在显示网页之前,我如何检查用户是否已登录,该用户是谁?以及如何在登录后将用户定向
我在我的最新产品上使用(和学习)Django,我刚刚安装并开始使用 django-registration允许我的用户自动注册的应用程序。 一切正常,但我正在考虑将每个新用户分配到一个特定的组(已经创
如何使用电子邮件而不是用户名进行身份验证 django-registration . 进一步了解如何在安装注册模块后实现此更改。 我要在这里编辑解决方案吗 Anyone knows a good ha
我正在尝试创建自定义配置文件以将其他字段添加到 django-registration。这是我到目前为止的代码 -- 在models.py中 from django.db import models
我正在使用 django-registration (请参阅: https://bitbucket.org/ubernostrum/django-registration )在我的一个项目中。 dja
我有注册过程,以便在用户单击注册时存储“电话”的自定义属性,如果用户在其中输入了电话号码。但是,我希望它是一个必填字段,如果留空则防止注册。我还没有找到任何关于如何执行此操作的 keycloak 文档
我有django注册设置,它会发送电子邮件-是的! 但是,我们决定将我的网站命名为“example.com”,这不是我决定使用的名称。很酷的名字,但不适合我。 如何将example.com更改为其他内
我是一名优秀的程序员,十分优秀!