手动验证Azure AD Graph API访问令牌

最新推荐文章于 2024-04-24 20:05:23 发布
最新推荐文章于 2024-04-24 20:05:23 发布
阅读量216 收藏
点赞数 1
文章标签: azure microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee576/article/details/136677133
版权

参考链接

using Bestrane.OPS.Core;
using IdentityModel;
using Microsoft.IdentityModel.Logging;
using Microsoft.IdentityModel.Protocols;
using Microsoft.IdentityModel.Protocols.OpenIdConnect;
using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Net;
using System.Security.Cryptography;
using System.Threading;
using System.Threading.Tasks;
using System.Web.Http.Controllers;
using System.Web.Http.Filters;

namespace Bestrane.OPS.API.Attributes
{
    public class JwtAuthenticationAttribute : AuthorizationFilterAttribute
    {
        public override void OnAuthorization(HttpActionContext actionContext)
        {
            if (!IsAuthorized(actionContext))
            {
                HandleUnauthorizedRequest(actionContext);
            }
        }

        private bool IsAuthorized(HttpActionContext actionContext)
        {
            // Get the Authorization header from the request
            var authHeader = actionContext.Request.Headers.Authorization;
            if (authHeader != null && authHeader.Scheme.Equals("Bearer", StringComparison.OrdinalIgnoreCase))
            {
                try
                {
                    var policyNames = new List<string> { "eta", "pod", "routeplanner" };
                    var accessToken = authHeader.Parameter;

                    string rootDirectory = AppContext.BaseDirectory;
                    var configReader = new JsonConfigReader($"{rootDirectory}/AzureConfig.json");
                    var clientId = configReader.GetValueByNodePath<string>("AzureAd/ClientId");
                    var tenantId = configReader.GetValueByNodePath<string>("AzureAd/TenantId");

                    var openIdConfigurationEndpoint = $"https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration";
                    IConfigurationManager<OpenIdConnectConfiguration> configurationManager = 
                        new ConfigurationManager<OpenIdConnectConfiguration>(openIdConfigurationEndpoint, 
                        new OpenIdConnectConfigurationRetriever(), 
                        new HttpDocumentRetriever());
                    OpenIdConnectConfiguration openIdConfig =  configurationManager.GetConfigurationAsync(CancellationToken.None).Result;
                    var keys = openIdConfig.SigningKeys.Where(x => x.GetType() == typeof(Microsoft.IdentityModel.Tokens.X509SecurityKey)).ToList();
                    TokenValidationParameters validationParameters = new TokenValidationParameters
                    {
                        ValidateAudience = false,
                        ValidateIssuer = false,
                        IssuerSigningKeys = keys,
                        ValidateLifetime = false,
                        ValidateIssuerSigningKey = false,
                        TokenReader = (string token1, TokenValidationParameters parameters) =>
                        {
                            string[] parts = token1.Split('.');
                            string header = parts[0];
                            string payload = parts[1];
                            string signature = parts[2];
                            var tokenHandler = new JwtSecurityTokenHandler();
                            var jsonToken = tokenHandler.ReadJwtToken(token1);
                            if (jsonToken.Header.TryGetValue("nonce", out object nonceAsObject))
                            {
                                string plainNonce = nonceAsObject.ToString();
                                using (SHA256 sha256 = SHA256.Create())
                                {
                                    byte[] hashedNonceAsBytes = sha256.ComputeHash(
                                        System.Text.Encoding.UTF8.GetBytes(plainNonce));
                                    string hashedNonce = Base64Url.Encode(hashedNonceAsBytes);
                                    jsonToken.Header.Remove("nonce");
                                    jsonToken.Header.Add("nonce", hashedNonce);
                                    header = tokenHandler.WriteToken(jsonToken).Split('.')[0];
                                    jsonToken = tokenHandler.ReadJwtToken($"{header}.{payload}.{signature}");
                                }
                            }
                            return jsonToken;
                        }
                    };
                    IdentityModelEventSource.ShowPII = true;
                    var handler = new JwtSecurityTokenHandler();
                    var principal = handler.ValidateToken(accessToken, validationParameters, out var token);
                    return principal != null;
                }
                catch (Exception ex)
                {
                    return false;
                }
            }
            return false;
        }

        private void HandleUnauthorizedRequest(HttpActionContext actionContext)
        {
            // Return 401 Unauthorized response
            actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
        }

        private SecurityKey[] GetSigningKeys(string domain)
        {
            var jwksUrl = $"https://{domain}/.well-known/jwks.json";
            var jwksJson = new WebClient().DownloadString(jwksUrl);
            var jwks = new JsonWebKeySet(jwksJson);

            return jwks.Keys.ToArray();
        }
    }
}

这样就可以在用户访问每一个后台API的时候根据AccsessToken鉴权了

    public class OrderStatusController : BaseController
    {
        [JwtAuthentication]
        [HttpPost, Route("api/eta")]
        public async Task<IHttpActionResult> EstimatedTimeToArrival([FromBody] ETARequest request)
        {
              ......

               

lee576
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
active-directory-android:使用Azure ADADAL库对用户进行身份验证并使用OAuth 2.0访问令牌调用We​​b API的android应用
02-03
ADAL Android Microsoft Graph API示例 此示例有一个较新的版本,可以利用Microsoft身份平台(以前称为Azure AD v2.0) 检查一下: : 如果确实需要访问Azure AD v1.0,则可以导航到分支,但是请注意,它不再受支持。
msal-azuread:尝试使用msal启用身份验证
04-19
msal-azuread 尝试使用msal启用身份验证 page_type:示例语言: javascript 打字稿产品: 角度的 ms图 azure-active-directory描述:“演示如何使用MSAL Angular v2登录,注销,保护路由以及获取受保护资源(例如Microsoft Graph)的访问令牌。” urlFragment:“ ms-identity-javascript-angular-spa” 使用MSAL Angular v2和Microsoft身份平台构建的Angular单页应用程序 此示例演示如何使用MSAL Angular v2登录,注销,有条件地将组件呈现给经过身份验证的用户,以及获取受保护资源(例如Microsoft Graph)的访问令牌。 特征 此示例演示了以下MSAL Angular概念: 配置 登录 登出 保护路线 获取访问令牌并调
active-directory-b2c-javascript-nodejs-webapi:一个用于 Azure AD B2C 的小型 Node.js Web API,展示了如何使用 Passport.js 保护 Web API 并接受 B2C 访问令牌
07-24
页类型 语言 产品 网址片段 描述 样本 javascript 节点 ms-graph 天蓝色活动目录 azure-active-directory-b2c 活动目录-b2c-javascript-nodejs-webapi 此示例演示了调用 Node.js Web Api 的 JavaScript SPA 应用程序,该应用程序使用 Azure AD B2C 进行保护 演示如何使用 Passport.js 库通过 Azure AD B2C 保护 Node.js Web API 的示例 概述 此示例演示使用库通过Microsoft 标识平台和Azure AD B2C 保护Node.js Web API 。 您将需要一个客户端应用程序来调用 Web API。 选择: JavaScript 单页应用程序使用带有 PKCE 的身份验证代码流调用带有 MSAL.js 2.x 的自定义 W
ms-identity-javascript-react-spa:一个通过Azure AD和MSAL React调用Microsoft Graph的React单页应用程序
05-13
使用MSAL React和Microsoft身份平台构建的React单页应用程序 此示例演示如何使用登录,注销,有条件地将组件呈现给经过身份验证的用户,以及获取受保护资源(例如Microsoft Graph)的访问令牌。 特征 该示例演示了以下MSAL React概念: 配置 登录 登出 有条件地为经过身份验证或未经身份验证的用户呈现组件 获取访问令牌并调用Microsoft Graph 内容 文件夹 描述 src 包含样本源文件 styles 包含样例的样式 components 包含ui组件,例如登录按钮,注销按钮和导航栏 public 包含静态内容,例如图像和基本html authConfig.js 包含样本的配置参数。 App.jsx 包含MSAL React组件和主要样本内容 graph.js 提供用于调用MS Graph API的帮助程序功能。 index
ms-identity-android-native:[已弃用] Android应用程序,展示了如何使用MSAL通过融合的v2.0身份验证终结点对MSA和Azure AD进行身份验证,并使用生成的令牌访问Microsoft Graph
01-30
语言 page_type 描述 产品展示 urlFragment Java 样品 MSAL Android预览版使您的应用程序可以开始使用Microsoft身份平台。 天蓝色 天蓝色活动目录 ms图 msal-android-app MSAL Android应用程序调用Microsoft Graph [!重要]已弃用-请参阅MSAL 1.0的新示例 MSAL Android预览版通过使用行业标准OAuth2和OpenID Connect提供融合的体验来支持和,从而使您的应用程序能够开始使用。 此样本演示了您的应用程序应经历的所有正常生命周期,包括: 获取Microsoft Graph令牌 通过Auth Broker支持整个设备范围的SSO和条件访问 自动刷新令牌 调用Microsoft图 登出用户 情境 此应用程序是一个多租户应用程序,意味着任何Azure AD租户或Microsoft帐户都可以使用它。 它演示了开发人员如何构建应用程序以与企业用户连接并通过Microsoft Graph访问Azure + O365数据。 在身份验证流程中,将要求最终用户登录并同意该应用
AADsamples:Azure AD 示例
05-30
AAD样本 Azure AD 示例 Bob German - 从博客文章系列开始,此示例展示了如何使用 ADAL(使用...- 尚未记录,此示例展示了如何通过证书身份验证和客户端凭据流获取令牌,以便通过 SharePoint REST API 使用应用程序权限
AzureADDirectoryRoleMemberSync:将本地组的成员身份与一个(或多个)Azure AD目录角色同步
04-13
我喜欢开发此脚本来找到一种解决方法,并让您使用GraphAPI和Certificate Token将一个组的成员身份与一个(或多个,如果需要)AzureAD目录角色成员身份进行同步。改进: 使用证书请求令牌,因此您可以限制对管理员...
Office365-Java-Connect:从 Java 应用程序到 Office 365 和 Outlook API 的身份验证示例
05-29
创建访问和刷新令牌以调用 Azure AD Graph API。 调用 Azure AD Graph API 以获取在 Azure AD 中注册的用户列表。 创建访问和刷新令牌以调用 Office 365 Outlook API。 通过 REST 调用 Office 365 Outlook API ...
ms-identity-aspnet-webapp-openidconnect:一个示例,展示如何开发通过统一的Azure AD和MSA终结点处理登录的Web应用程序,以便用户可以使用其workschool帐户或Microsoft帐户登录。 该示例还显示了如何使用MSAL获得用于调用Microsoft Graph令牌以及渐进式同意
05-15
服务平台作者等级客户服务终点page_type 语言产品描述活动目录网络pri 400 ASP.NET Web应用程序微软图微软身份平台样本尖锐的天蓝色天蓝色活动目录网络Office-ms-graph 此示例展示了如何开发使用Microsoft身份平台和...
ESPTeamsPresence:ESP32的Microsoft Teams状态指示灯
05-17
观看此视频以获取简短概述: 一些技术细节: 该项目实现了设备登录流程,以针对Microsoft Azure AD进行身份验证并获取访问令牌。 使用此令牌,设备可以调用Microsoft Graph API来获取经过身份验证的用户的状态信息...
CEO-Dashboard
04-22
显示守护程序控制台应用程序如何使用MSAL.NET获取访问令牌并调用Microsoft Graph。 .NET Core 2.2简单守护程序控制台应用程序,使用其自己的身份调用Microsoft Graph 关于这个样本 概述 该示例应用程序演示了如何...
如何为.NET MVC添加Azure AD验证
窗外有青山
06-03 932
登陆Azure,添加对应AD,记录下AD域名。 AD下有默认的Azure帐户,为MVC程序添加AD用户新建MVC程序选择AD认证输入AD域名确定时需验证Azure帐户。此时必须先在Azure主页注销,并保证机器上没有登陆其他Azure账户,否则会导致验证失败。确认后启动MVC程序,会自动跳转到Azure AD的身份验证。用刚创建的AD用户可登陆 P.S 虽然此时网站自动变为https协议,默认
Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
m0_56069948的博客
06-12 662
在前两篇博文中,对NodeJS Express应用 使用MSAL + AAD实现用户登录并获取用户信息,获取Authorization信息 ( ID Token, Access Token).而在当前这篇博文中,我们将会实现以下目的:1)为NodeJS API应用配置Bearer Token验证组件 passport 和 passport-azure-ad2)实现使用idToken验证访问API在完成Azure AD中的注册应用配置后,并且根据博文“ NodeJS Express + MSAL 应用实现A
AAD基础知识(identity/token/PRT)
ATpiu的博客
10-03 1230
AAD,Azure ad,Microsoft Entra ID, access token, PRT, primary refresh token
本地ASP.NET开发页面使用AzureAD(AAD)验证登录
weixin_33826268的博客
07-25 592
本地ASP.NET开发页面使用AzureAD(AAD)验证登录Azure和Office365已不是一个热门话题了,因为所谓的云时代已经走进了技术大师们的内心,大家多少有一定了解了,所以就不多介绍了,我的Blog中之前也写了很多关于Azure及Office365的相关文章,如果有兴趣的同学可以参考一下。一般企业内部如果使用了Azure或者Office365产品的话,都会跟本地的...
Azure 媒体服务换新锁,更安全更方便,新钥匙请收好!
weixin_30918633的博客
08-14 58
不知道有多少人已经把家里的门锁换成了数字化的指纹锁?沿用了几百上千年的传统门锁,在技术的帮助下无疑变得更方便,不用带钥匙,还能远程控制和操作,最重要的是,终于不用担心「衣果(luǒ)着」出门扔垃圾,风吹门关人尴尬的局面。 呐,这里大家注意了,与时俱进的Azure媒体服务也已经「换锁」了,开始采用基于AADAzure Active Directory)的全新身份验证机制,这是一种更强大、...
Azure AKS集群监控告警表达式配置
RayPick的博客
04-23 750
其中id就是我们要的clusterID,然后替换下面的clusterID字段内容。最后的 percentage 也需要根据实际情况来设置对应值。
技术速递|Java on Azure Tooling 3月更新 - Java on Azure 开发工具未来六个月路线图发布
最新发布
MicrosoftReactor的博客
04-24 788
作者:Jialuo Gan - Program Manager, Developer Division At Microsoft排版:Alan Wang大家好,欢迎阅读 Java on Azure 工具的三月更新。在本次更新中,我们将分享未来几个月对 Java on Azure 开发工具的投资。此外,我们还将介绍对使用 Connection Strings 管理资源。我们希望您喜欢这些更新功能,并享受使用的流畅体验。请下载并安装 IntelliJ 的 Azure 工具包。让我们开始吧!
我是说调用azure ad
06-10
哦,我理解错了你的问题。Azure Active Directory是微软提供的一种身份验证和授权服务,可以用于管理组织内的用户和应用程序。如果你想在Java应用程序中使用Azure AD进行身份验证,你可以使用Azure AD提供的Java SDK来完成。具体来说,你需要完成以下步骤: 1. 在Azure门户中创建一个Azure AD应用程序,并记录下应用程序的客户端ID和客户端机密。 2. 在Java应用程序中添加Azure AD Java SDK的依赖项,并使用客户端ID和客户端机密来初始化一个身份验证对象。 3. 使用身份验证对象来获取访问令牌,并将令牌用于调用Azure AD保护的API。 下面是一个使用Azure AD Java SDK进行身份验证的示例代码: ``` import com.microsoft.aad.msal4j.*; public class AzureADAuthExample { public static void main(String[] args) throws Exception { String clientId = "<your-client-id>"; String clientSecret = "<your-client-secret>"; String authority = "https://login.microsoftonline.com/<your-tenant-id>/"; IConfidentialClientApplication app = ConfidentialClientApplication.builder(clientId, ClientCredentialFactory.createFromSecret(clientSecret)) .authority(authority) .build(); ClientCredentialParameters parameters = ClientCredentialParameters.builder(Collections.singleton("<your-scope>")).build(); IAuthenticationResult result = app.acquireToken(parameters).get(); // Use the access token to call Azure AD protected API // ... } } ``` 在这个示例中,你需要将`<your-client-id>`、`<your-client-secret>`、`<your-tenant-id>`和`<your-scope>`替换为你自己的值。`<your-scope>`表示你要访问API的范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值