手动验证Azure AD Graph API访问令牌

最新推荐文章于 2024-08-09 20:21:07 发布
最新推荐文章于 2024-08-09 20:21:07 发布
阅读量297 收藏
点赞数 1
文章标签: azure microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee576/article/details/136677133
版权

参考链接

using Bestrane.OPS.Core;
using IdentityModel;
using Microsoft.IdentityModel.Logging;
using Microsoft.IdentityModel.Protocols;
using Microsoft.IdentityModel.Protocols.OpenIdConnect;
using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Net;
using System.Security.Cryptography;
using System.Threading;
using System.Threading.Tasks;
using System.Web.Http.Controllers;
using System.Web.Http.Filters;

namespace Bestrane.OPS.API.Attributes
{
    public class JwtAuthenticationAttribute : AuthorizationFilterAttribute
    {
        public override void OnAuthorization(HttpActionContext actionContext)
        {
            if (!IsAuthorized(actionContext))
            {
                HandleUnauthorizedRequest(actionContext);
            }
        }

        private bool IsAuthorized(HttpActionContext actionContext)
        {
            // Get the Authorization header from the request
            var authHeader = actionContext.Request.Headers.Authorization;
            if (authHeader != null && authHeader.Scheme.Equals("Bearer", StringComparison.OrdinalIgnoreCase))
            {
                try
                {
                    var policyNames = new List<string> { "eta", "pod", "routeplanner" };
                    var accessToken = authHeader.Parameter;

                    string rootDirectory = AppContext.BaseDirectory;
                    var configReader = new JsonConfigReader($"{rootDirectory}/AzureConfig.json");
                    var clientId = configReader.GetValueByNodePath<string>("AzureAd/ClientId");
                    var tenantId = configReader.GetValueByNodePath<string>("AzureAd/TenantId");

                    var openIdConfigurationEndpoint = $"https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration";
                    IConfigurationManager<OpenIdConnectConfiguration> configurationManager = 
                        new ConfigurationManager<OpenIdConnectConfiguration>(openIdConfigurationEndpoint, 
                        new OpenIdConnectConfigurationRetriever(), 
                        new HttpDocumentRetriever());
                    OpenIdConnectConfiguration openIdConfig =  configurationManager.GetConfigurationAsync(CancellationToken.None).Result;
                    var keys = openIdConfig.SigningKeys.Where(x => x.GetType() == typeof(Microsoft.IdentityModel.Tokens.X509SecurityKey)).ToList();
                    TokenValidationParameters validationParameters = new TokenValidationParameters
                    {
                        ValidateAudience = false,
                        ValidateIssuer = false,
                        IssuerSigningKeys = keys,
                        ValidateLifetime = false,
                        ValidateIssuerSigningKey = false,
                        TokenReader = (string token1, TokenValidationParameters parameters) =>
                        {
                            string[] parts = token1.Split('.');
                            string header = parts[0];
                            string payload = parts[1];
                            string signature = parts[2];
                            var tokenHandler = new JwtSecurityTokenHandler();
                            var jsonToken = tokenHandler.ReadJwtToken(token1);
                            if (jsonToken.Header.TryGetValue("nonce", out object nonceAsObject))
                            {
                                string plainNonce = nonceAsObject.ToString();
                                using (SHA256 sha256 = SHA256.Create())
                                {
                                    byte[] hashedNonceAsBytes = sha256.ComputeHash(
                                        System.Text.Encoding.UTF8.GetBytes(plainNonce));
                                    string hashedNonce = Base64Url.Encode(hashedNonceAsBytes);
                                    jsonToken.Header.Remove("nonce");
                                    jsonToken.Header.Add("nonce", hashedNonce);
                                    header = tokenHandler.WriteToken(jsonToken).Split('.')[0];
                                    jsonToken = tokenHandler.ReadJwtToken($"{header}.{payload}.{signature}");
                                }
                            }
                            return jsonToken;
                        }
                    };
                    IdentityModelEventSource.ShowPII = true;
                    var handler = new JwtSecurityTokenHandler();
                    var principal = handler.ValidateToken(accessToken, validationParameters, out var token);
                    return principal != null;
                }
                catch (Exception ex)
                {
                    return false;
                }
            }
            return false;
        }

        private void HandleUnauthorizedRequest(HttpActionContext actionContext)
        {
            // Return 401 Unauthorized response
            actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
        }

        private SecurityKey[] GetSigningKeys(string domain)
        {
            var jwksUrl = $"https://{domain}/.well-known/jwks.json";
            var jwksJson = new WebClient().DownloadString(jwksUrl);
            var jwks = new JsonWebKeySet(jwksJson);

            return jwks.Keys.ToArray();
        }
    }
}

这样就可以在用户访问每一个后台API的时候根据AccsessToken鉴权了

    public class OrderStatusController : BaseController
    {
        [JwtAuthentication]
        [HttpPost, Route("api/eta")]
        public async Task<IHttpActionResult> EstimatedTimeToArrival([FromBody] ETARequest request)
        {
              ......

               

lee576
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Azure AD统一认证及用户数据同步开发指导
bossfriday - 个人博客
04-22 1966
本文主要目的为:指导开发者进行自有服务与Azure AD统一认证的集成,以及阐述云端用户数据同步的实现方案。本文除了会介绍必要的概念、原理、流程外,还会包含Azure门户设置说明,以及使用Fiddler进行全流程的实操验证,同时还会结合实际的业务需求提出具体的方案建议及关键实现方法的说明,以此达到开发指导的效果。
active-directory-android:使用Azure ADADAL库对用户进行身份验证并使用OAuth 2.0访问令牌调用We​​b API的android应用
02-03
ADAL Android Microsoft Graph API示例 此示例有一个较新的版本,可以利用Microsoft身份平台(以前称为Azure AD v2.0) 检查一下: : 如果确实需要访问Azure AD v1.0,则可以导航到分支,但是请注意,它不再受...
Azure: Azure AD(For Development)的使用
热门推荐
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
.netcore webapi AzureAD 认证集成swagger
醉酒的李白、的博客
04-28 729
startup里 public void ConfigureServices(IServiceCollection services) { try { string stsDiscoveryEndpoint = Configuration["AzureAd:Instance"] + "/common/v2.0/.well-known/openid-configuration"; IConfigurationManager<OpenIdConnec
应用服务配置 Azure AD 的学习与分享
NoteDing
02-04 3941
Azure Active Directory (Azure AD) 用作身份验证 用快速设置进行配置 在 Azure 门户中,搜索并选择“应用服务”,然后选择你的应用。 在左侧导航栏中,依次选择“身份验证/授权” > “开”。 依次选择“Azure Active Directory” > “快速”。 若要改为选择现有应用注册,请执行以下操作: 选择“选择现有 AD 应用”,然后单击“Azure AD 应用”。 选择现有应用注册,然后单击“确定”。 选择“确定”,在 Azure Active
Azure AD (5) 在单一目录下,使用Azure AD单点登录
weixin_30471065的博客
08-12 919
  《Windows Azure Platform 系列文章目录》   本文介绍的是,在单一目录下,使用Azure AD Connect,打通本地Domain Controller   我们需要准备的环境有:   1.Azure China订阅   2.在本地或者在微软云端,创建1台Windows VM,安装Domain Controller域控制器服务。   这里我们的测试...
java 令牌访问_Microsoft Graph API访问令牌验证失败(java)
weixin_35962608的博客
03-07 819
我正在尝试设置一个原生Java应用程序,它将在使用ADAL4j进行身份验证后,利用MS GraphAPI访问用户OneDrive。我正在使用this库来获取我的访问令牌。到目前为止,我有这样的代码:import java.io.BufferedReader;import java.io.InputStreamReader;import java.util.concurrent.ExecutorS...
如何构建基于Azure AD认证和Microsoft Graph的简单Blazor Web应用
07-29 634
作为.NET开发者,我们都听说最近Blazor比较火。Blazor是一个使用.NET构建交互式客户端Web UI的框架。我们将在本篇博客中重点介绍Blazor Server,它提供了在ASP.NET Core应用程序中在服务器托管Razor组件的支持。通过SignalR连接更新UI。本篇示例的授权认证的部分就利用Azure AD来做,并会从Microsoft Graph获取数据。 前提条件 安装.NET Core 3.1 SDK,Visual Studio 2019或其他偏好的.NET IDE,还有就是Az
应用系统Azure AD认证(二)
NoteDing
02-05 3605
应用系统Azure AD认证 应用系统与员工账户认证绑定(AD),实现基于Azure AD的Multi-Factor Authentication(MFA)。 1.3 前端登录认证 1.3.1 使用Azure AD登录 当用户登录时,JavaScript 前端使用 JavaScript (ADAL.JS) 的 Active Directory 身份验证库和隐式授权授予从 Azure AD 获取一个 ID 令牌 (id_token)。 该令牌随后被缓存,当客户端调用使用 OWIN 中间件进行保护的 Web A
Microsoft Graph for Office 365 - 身份验证路线图和访问令牌
01-14 2224
博客地址:http://blog.csdn.net/FoxDave 本篇我们介绍并展望Microsoft Graph的身份验证状况,特别是获取访问令牌的部分。 任何对Microsoft Graph的请求都需要进行正确地认证,即包括一个访问令牌Microsoft Graph中的访问令牌是一个base 64编码的JSON web token (JWT),它必须通过Azure AD给出。 对于Azu...
AzureGraphApiExamples:一些脚本作为处理Azure Graph API的起点
03-09
- **身份验证**:通常会有一个初始化脚本,用于获取访问令牌,这是与Azure Graph API进行交互的第一步。 - **CRUD操作**:创建、读取、更新和删除用户、组、应用程序实例的示例。 - **权限和角色**:如何分配和管理...
active-directory-b2c-javascript-nodejs-webapi:一个用于 Azure AD B2C 的小型 Node.js Web API,展示了如何使用 Passport.js 保护 Web API 并接受 B2C 访问令牌
07-24
演示如何使用 Passport.js 库通过 Azure AD B2C 保护 Node.js Web API 的示例 概述 此示例演示使用库通过Microsoft 标识平台和Azure AD B2C 保护Node.js Web API 。 您将需要一个客户端应用程序来调用 Web API。 ...
ms-identity-android-native:[已弃用] Android应用程序,展示了如何使用MSAL通过融合的v2.0身份验证终结点对MSA和Azure AD进行身份验证,并使用生成的令牌访问Microsoft Graph
01-30
包括: 获取Microsoft Graph令牌通过Auth Broker支持整个设备范围的SSO和条件访问自动刷新令牌调用Microsoft图登出用户情境此应用程序是一个多租户应用程序,意味着任何Azure AD租户或Microsoft帐户都可以使用它。...
ms-identity-javascript-react-spa:一个通过Azure AD和MSAL React调用Microsoft Graph的React单页应用程序
05-13
此示例演示如何使用登录,注销,有条件地将组件呈现给经过身份验证的用户,以及获取受保护资源(例如Microsoft Graph)的访问令牌。 特征 该示例演示了以下MSAL React概念: 配置 登录 登出 有条件地为经过身份验证...
Chainlit快速实现AI对话应用并将聊天数据的AWS S3 和 Azure Blob云服务中
最新发布
洛阳泰山的博客
08-09 793
该类是Chainlit框架内数据持久性操作的抽象基础。该类概述了在聊天机器人应用程序中管理用户、反馈、元素、步骤和线程的方法。
Using Embeddings API in Azure OpenAI
suiusoar
08-06 641
当我在 Azure OpenAI 中使用嵌入功能时,我遇到了 404 错误(资源未找到)
CData Drivers for Azure Active Directory
q2315702359的博客
08-08 648
  Key Features of CData Drivers for Azure Active Directory:  Universal Compatibility:  Support various applications, languages, and development environments, including Microsoft Power BI, Tableau, Java, Python, .NET, and more.  Security Features:  Integrat
Azure openai connection with javascript
suiusoar
08-06 395
使用JavaScript与Azure OpenAI进行连接
使用Azure AD注册应用获取OneDrive API访问令牌
接下来,你需要使用这个授权码来向Azure AD令牌端点发起POST请求,换取访问令牌和刷新令牌。基本的请求结构如下: ```POST https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token ``` 请求体包括: -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值