Azure AD认证和Azure AD B2C的token获取

于 2022-11-16 16:03:31 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: npm 文章标签: azure microsoft node.js c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36991535/article/details/127877491
版权

Azure AD认证和Azure AD B2C的token获取

工作当中使用过Azure AD认证和B2C的认证,今天抽时间再回顾一下。

个人理解比较浅显,我认为Azure AD和Azure AD B2C都可作为用户管理的系统,他们提供了自己的登录认证画面,统一使用Graph API对自己的用户和其他功能做管理。

Azure AD功能强大,微软的老牌认证方式,可以很方便跟其他三方应用集成,可做单点登录。
而Azure AD B2C更像是三方的用户系统,最大的特点是可自定义UI画面。

感觉总结的不是很好,纯纯自己的理解,这里就不多说了,让我们进入正题。

这里主要贴一下,当时使用的认证相关获取token的代码。

一、Azure AD

1、获取认证登录地址
下面的代码是nodejs的示例,需要用到msal-node库·,当然可以根据官网自己拼接URL也是可以的,在之前曾经尝试过,没有任何问题。
只是在当时不知道为什么,老是提示我需要change_codeverifier两个参数,因为不明白这两个参数的原理,所以采用了msal-node库去生成。
msal参考地址: https://azuread.github.io/microsoft-authentication-library-for-js/ref/classes/_azure_msal_browser.publicclientapplication.html

const msal = require("@azure/msal-node");

function getAuthCodeUrl (){
  return new Promise((resolve, reject) => {
    const cryptoProvider = new msal.CryptoProvider();
    cryptoProvider.generatePkceCodes().then(({ verifier, challenge }) => {
	  const publiClient= new msal.PublicClientApplication({
	    auth: {
	      "clientId": SETTINGS.AD_CLIENT_ID,
	      "authority": `https://login.microsoftonline.com/${SETTINGS.AD_TENANT_ID}`
	    }
	  });
      publiClient.getAuthCodeUrl({
        scopes: ["user.read"],
        redirectUri: SETTINGS.REDIRECT_URL,
        codeChallenge: challenge,
        codeChallengeMethod: "S256"
      }).then((response) => {
        let result = {
          authUrl: response,
          verifier: verifier,
        };
        resolve(result);
      }).catch((error) => {
        reject(JSON.stringify(error));
      });
    });
  });
}

2、access_token的获取
① 通过认证code获取access_token。
在通过认证地址登录后,会跳转到重定向地址,附带client_infocode参数,verifier参数由1、中获取。
官方参考地址: https://learn.microsoft.com/zh-cn/graph/auth-v2-user

const rp = require("request-promise");

function getADToken (code, clientInfo, verifier) {
  return new Promise((resolve, reject) => {
    let options = {
      method: "POST",
      uri: `https://login.microsoftonline.com/${SETTINGS.AD_TENANT_ID}/oauth2/v2.0/token`,
      form: {
        "client_id": SETTINGS.AD_CLIENT_ID,
        "scope": "openid offline_access profile",
        "grant_type": "authorization_code",
        "redirect_uri": SETTINGS.REDIRECT_URL,
        "code": code,
        "client_secret": SETTINGS.AD_SECRIT_ID,
        "client_info": clientInfo,
        "code_verifier": verifier,
      },
      headers: {
        "Content-Type": "application/x-www-form-urlencoded",
      },
    };

    rp(options)
      .then((res) => {
        resolve(JSON.parse(res)["access_token"]);
      })
      .catch((err) => {
        reject(err);
      });
  });
}

二、Azure AD B2C

1、获取认证登录地址

// B2C配置对象
 const b2cConfig= {
    auth: {
      clientId: SETTINGS.B2C_CLIENT_ID,
      authority: `https://${SETTINGS.B2C_TENANT_NAME}.b2clogin.com/${SETTINGS.B2C_TENANT_NAME}.onmicrosoft.com/${SETTINGS.B2C_POLICY}`,
      knownAuthorities: [`${SETTINGS.B2C_TENANT_NAME}.b2clogin.com`],
      redirectUri: SETTINGS.REDIRECT_URL,
    }
  };

// 创建msal对象
const publicClient = new msal.PublicClientApplication(b2cConfig);

function getAuthCodeUrl (){
  return new Promise((resolve, reject) => {
    const cryptoProvider = new msal.CryptoProvider();
    cryptoProvider.generatePkceCodes().then(({ verifier, challenge }) => {
      publicClient.getAuthCodeUrl({
        redirectUri: b2cConfig.auth.redirectUri,
        authority: b2cConfig.auth.authority,
        scopes: ["openid", "offline_access"],
        state: "login",
        codeChallenge: challenge,
        codeChallengeMethod: "S256",
      }).then((response) => {
        let result = {
          authUrl: response,
          verifier: verifier,
        };
        resolve(result);
      }).catch((error) => {
        reject(JSON.stringify(error));
      });
    });
  });
}

2、获取IdToken
B2C认证拿到的code只能换取idToken, 就算拿到了access_token也是属于web_token,不能用于调用graph api。这是跟微软support确认后的结果。

function getIdToken (code, codeVerifier) {
  return new Promise((resolve, reject) => {
    // prepare the request for authentication
    const tokenRequest = {
      redirectUri: b2cConfig.auth.redirectUri,
      code: code,
      codeVerifier: codeVerifier,
    };
    pca.acquireTokenByCode(tokenRequest).then((response) => {
      resolve(response);
    }).catch((error) => {
      reject(error);
    });
  });
}

3、解析IdToken
IdToken中包含用户的相关信息,但是没法查看,需要用到jwt-decode库解析。

const jwtDecode = require("jwt-decode");
let tokenObj = jwtDecode(idToken);

4、获取access_token
B2C不能使用认证code获取access_token,所以采用了Azure AD免登录的方式获取了access_token。
官方参考地址: https://learn.microsoft.com/zh-cn/graph/auth-v2-service

const confidentialClientPca = new msal.ConfidentialClientApplication({
	auth: {
      "clientId": SETTINGS.B2C_CLIENT_ID,
      "authority": `https://login.microsoftonline.com/${SETTINGS.B2C_TENANT_ID}`,
      "clientSecret": SETTINGS.B2C_SECRIT_ID,
    }
  });

function getClientCredentialsToken () {
  return new Promise((resolve, reject) => {
    const clientCredentialRequest = {
      scopes: ["https://graph.microsoft.com/.default"],
      azureRegion: null, // (optional) specify the region you will deploy your application to here (e.g. "westus2")
      skipCache: false, // (optional) this skips the cache and forces MSAL to get a new token from Azure AD
    };
    confidentialClientPca.acquireTokenByClientCredential(clientCredentialRequest)
      .then((response) => {
        resolve(response.accessToken);
      }).catch((error) => {
        reject(JSON.stringify(error));
      });
  });
}

三、C# 操作示例

依赖包<PackageReference Include="Microsoft.Graph.Beta" Version="4.35.0-preview" />

using System;
using System.Collections.Generic;
using Microsoft.Extensions.Logging;
using System.Threading.Tasks;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using Microsoft.Graph;
using Microsoft.Identity.Client;
using System.IO;

namespace AZ.Functuon
{
    public class GraphAPI
    {
        public GraphServiceClient client = null;
        public StreamWriter logWriter;
        public string tenantName;

        public GraphAPI(string tenantId,string tenantName,string clientId,string clientSecret,StreamWriter logWriter)
        {
            try
            {
                this.tenantName = tenantName;
                this.logWriter = logWriter;
                string[] scopes = new[] { "https://graph.microsoft.com/.default" };
                IConfidentialClientApplication cca = ConfidentialClientApplicationBuilder
                    .Create(clientId)
                    .WithTenantId(tenantId)
                    .WithClientSecret(clientSecret)
                    .Build();
                Task<AuthenticationResult> taskResult = cca.AcquireTokenForClient(scopes).ExecuteAsync();
                taskResult.Wait();
                InitClint(cca, scopes);
            }
            catch (Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                this.client = null;
            }
        }
        
        public void InitClint(IConfidentialClientApplication cca,string[] scopes)
        {
            DelegateAuthenticationProvider authProvider = new DelegateAuthenticationProvider(async (request) =>
            {
                AuthenticationResult result = await cca.AcquireTokenForClient(scopes).ExecuteAsync();
                request.Headers.Authorization = new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", result.AccessToken);
            });
            this.client = new GraphServiceClient(authProvider);
        }

        // ユーザのObjectIdを取得する
        public async Task<string> GetObjectId(string employeeId)
        {
            try
            {
                var result = await this.client.Users
                    .Request()
                    .Filter($"identities/any(c:c/issuerAssignedId eq '{employeeId}' and c/issuer eq '{this.tenantName}@onmicrosoft.com')")
                    .Select(e => new
                    {
                        e.DisplayName,
                        e.Id,
                        e.Identities
                    })
                    .GetAsync();
                if (result != null)
                {
                    JObject jo = (JObject)JsonConvert.DeserializeObject(System.Text.Json.JsonSerializer.Serialize(result).Substring(1, System.Text.Json.JsonSerializer.Serialize(result).Length-2));
                    return jo["id"].ToString();
                }
                else
                {
                    return null;
                }
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return null;
            }
        }

        // ユーザのObjectIdをtest取得する
        public async Task<string> GetObjectIdByUserprincipalname(string userPrincipalName)
        {
            try
            {
                String [] userPrincipalNamefirst=userPrincipalName.Split("@");
                var result = await this.client.Users[$"{userPrincipalNamefirst[0]}@{this.tenantName}.onmicrosoft.com"]
                    .Request(new Option[] { new QueryOption("$count", "true")})
                    .Header("ConsistencyLevel", "eventual")
                    .GetAsync();
                if (result != null)
                {
                    JObject jo = (JObject)JsonConvert.DeserializeObject(System.Text.Json.JsonSerializer.Serialize(result));
                    return jo["id"].ToString();
                }
                else
                {
                    return null;
                }
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return null;
            }
        }

        // B2Cにユーザを新規追加する
        public async Task<bool> CreateB2CUser(string employeeId, string userName,string userPrincipalName, string birthday)
        {
            try
            {
                userPrincipalName = userPrincipalName.Split("@")[0];
                var user = new User
                {
                    AccountEnabled = true,
                    DisplayName = userName,
                    MailNickname = userPrincipalName,
                    UserPrincipalName = $"{userPrincipalName}@{this.tenantName}.onmicrosoft.com",
                    PasswordProfile = new PasswordProfile
                    {
                        ForceChangePasswordNextSignIn = false,
                        Password = $"Fj_{birthday}"
                    },
                    Identities = new List<ObjectIdentity>()
                    {
                        new ObjectIdentity
                        {
                            SignInType = "userName",
                            Issuer = "{this.tenantName}.onmicrosoft.com",
                            IssuerAssignedId = employeeId
                        },
                    }
                };
                var result = await this.client.Users
                    .Request()
                    .AddAsync(user);
                return true;
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return false;
            }
        }

        // B2Cユーザの認証電話番号追加
        public async Task<bool> AddAuthPhoneNumber(string objectID, string phone)
        {
            try
            {
                var phoneAuthenticationMethod = new PhoneAuthenticationMethod
                {
                    PhoneNumber = $"+81 {phone}",
                    PhoneType = AuthenticationPhoneType.Mobile
                };
                await this.client.Users[objectID].Authentication.PhoneMethods
                    .Request()
                    .AddAsync(phoneAuthenticationMethod);
                return true;
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return false;
            }
        }

        // 人事情報システム側で更新したB2Cユーザの認証電話番号を更新する
        public async Task<bool> UpdateAuthPhoneNumber(string objectID, string phone)
        {
            try
            {
                var phoneAuthenticationMethod = new PhoneAuthenticationMethod
                {
                    PhoneNumber = $"+81 {phone}",
                    PhoneType = AuthenticationPhoneType.Mobile
                };

                await this.client.Users[objectID].Authentication.PhoneMethods["3179e48a-750b-4051-897c-87b9720928f7"]
                    .Request()
                    .PutAsync(phoneAuthenticationMethod);
                return true;
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return false;
            }
        }

        // 明細照会サービス側で追加したB2CユーザのユーザIDを更新する
        public async Task<bool> UpdateUserId(string objectID, string userId, string singleName)
        {
            try
            {
            var user = new User
            {
                Identities = new List<ObjectIdentity>()
                {
                    new ObjectIdentity
                    {
                        SignInType = "userName",
                        Issuer = "{this.tenantName}.onmicrosoft.com",
                        IssuerAssignedId = userId
                    },
                },
            };
            await this.client.Users[objectID]
                .Request()
                .UpdateAsync(user);
                return true;
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return false;
            }
        }

        // B2Cにユーザを削除する
        public async Task<bool> DeleteUserByObjId(string objectId)
        {
            try
            {
                await this.client.Users[objectId]
                    .Request()
                    .DeleteAsync();
                return true;
            }
            catch(Exception e)
            {
                CommonFunction.WriteLog(logWriter, "ERROR", $"{e.Message} | {e.StackTrace}");
                return false;
            }
        }
    }
}
Anesthesia丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Azure AD部署方案框架
xueyunshengling的博客
03-31 315
Azure AD 是一款云服务,用于管理用户和组织的标识和访问。企业可将 Azure AD 部署到其云环境中,用于集中管理和保护其应用程序和数据。企业用户还可使用 Azure AD 进行单一登录(SSO)和移动设备管理等。本文介绍了在企业级环境下部署 Azure AD 的六个步骤,并说明了每个步骤的详细要求和考虑事项。这些步骤将帮助企业安全地部署 Azure AD,并确保其应用程序和数据得到保护。
博客:日本Azure AD支持团队文档
01-28
Activeームの担当制品であるAzure Active Directory,Azure AD Connect,AD FS成为情报を中心にお届けします。その他のAzure关连サポートチームのブログへのリンクもありますのでぜひご确认ください。 Azure活动目录...
Azure active directory 获得访问的 token
HONEY MOOSE
10-08 1079
一直认为 Azure 的设计过于复杂,权限要求过多,就感觉是一群技术宅做的系统。相对 AWS 来说,更加喜欢 AWS 的功能设计。 但是因为工作需要又不得不使用 Azure,所以把使用过程中遇到的一些问题都记录下来,以期望能帮助有需要的人。 这篇文章主要用于介绍如何使用 postman 来获得 Azure active directory 的用户访问 token,这个步骤是使用 Azure 对用户鉴权使用的第一步。 确定 tenant Azure 允许你有多个 tenant,你可以在 Azure
Azure: Azure AD(For Development)的使用
热门推荐
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
C# Azure Oauth 2.0授权流以及调用Azure REST API
醉酒的李白、的博客
08-17 3208
C#调用Azure REST API 了解Oauth 2.0授权流 想要调微软REST API,第一步学会获取Access Token是必须的。 OAuth 2.0 授权流 这里附上微软OAuth 2.0 authorization官方文档 授权调用API代码 using Newtonsoft.Json; using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Net
轻松接入Azure AD+Oauth2 实现 SSO
JackieJia的博客
05-20 8881
背景介绍 众所周知,目前SSO最常见的实现方案有如下几种: 1、OAuth2 2、SAML 3、OpenId 本文重点介绍的是目前SSO普及偏高的是第一种方案Oauth2,以下将分几个部分阐述如何对接Azure的Oauth2 Oauth2 集成Azure AD 方案: 如下是集成的时序图: 解释说明: 1、Native App 可以简单的理解你要接入的WEB 网站,由它来接收azure 认证之后的跳转。 2、Web API 可以理解为接入WEB网站对应的后端服务接口,由它来负责接收access_token
insomnia-plugin-azure-ad-authentication:失眠插件以获取Azure AD访问令牌
04-06
适用于Azure AD的Insomnia插件在轻松获取Azure AD访问令牌! 该插件支持: 工作或学校帐户, Microsoft帐户, 将帐户保存到Insomnia商店中, 静默登录以保存帐户,即使在整个失眠期间也是如此。先决条件此插件需要 ...
NetCoreAngularAzureB2CMsal:这是dotnet核心角度默认模板,在Azure AD B2C和msal.js的帮助下增加了身份验证
01-29
这是dotnet核心角度默认模板,并借助Azure AD B2C和msal.js进行了身份验证 配置 首先,您需要使用git下载源代码。 git clone https://github.com/Gimly/NetCoreAngularAzureB2CMsal.git 然后,转到已加载代码的...
使用Azure AD登录Angular应用程序第1部分
04-08
同时,我们还可以设置一个服务来处理登录、登出和获取令牌的逻辑。 `.NET-Core`标签表明我们可能还会涉及到后端API的开发,通常使用.NET Core框架。为了保护后端资源,我们需要验证接收到的访问令牌。这可以通过...
Azure-B2C游乐场:测试身份验证和集成方案的Azure AD B2C游乐场
02-06
本实验的目的是为在Azure B2C上测试身份验证和集成方案建立一个游乐场。 我们将为NicolCorp公司配置一个Tenant B2C,我们将在其中存储所有客户的用户个人资料。 配置完成后,我们将设置以下Web应用程序: ...
azure-ad-b2c-asp-net-core:一个示例,演示如何配置ASP.NET Core 3.0应用程序以利用Azure AD B2C执行诸如验证用户身份,保护Web API,兑换授权代码,调用受保护的Web API之类的任务
05-28
"AzureAd": { "Instance": "e.g. https://login.microsoftonline.com/", "TenantId": "e.g. <your>.onmicrosoft.com>", "ClientId": "", "ClientSecret": "", "PostLogoutRedirectUri": ...
azuread-shibboleth-docs:与MicrosoftAzure Active Directory(Azure AD)和Shibboleth联盟的身份提供商(IdP)和服务提供商(SP)软件之间的互操作性相关的文档
05-12
带有Shibboleth Identity Provider 3文档的Azure Active Directory单一登录和讨论 当前文档以.docx格式提供,或通过将置于“下载”选项中。 如果您对使用Shibboleth Identity Provider 3实施Azure Active Directory...
terraform-provider-azureadAzure Active Directory的Terraform提供程序
02-02
provider "azuread" { version = "~> 1.0.0" # NOTE: Environment Variables can also be used for Service Principal authentication # Terraform also supports authenticating via the Azure CLI too. # see ...
azure-ad-plugin:使用Azure AD进行身份验证和授权
02-02
一个支持通过Azure Active Directory进行身份验证和授权的Jenkins插件。 在Azure Active Directory中安装 确保您的Jenkins服务器已启用HTTPS。 如果您的Jenkins实例是由创建的,则可以在/etc/nginx/sites-available/...
带有ASP.NET Core 2.0的Azure AD
04-14
接下来,在ASP.NET Core 2.0项目中,我们需要安装必要的NuGet包,如`Microsoft.AspNetCore.Authentication.AzureAD.UI`和`Microsoft.IdentityModel.Protocols.OpenIdConnect`,它们提供了与Azure AD进行交互所需的...
[Azure - Security] Azure的多重身份验证(一):使用AD(Azure Active Directory)开启用户MFA
最新发布
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
09-22 1万+
Multi-Factor Authentication (MFA) :多重身份验证(英语:Multi-factor authentication,缩写为 MFA),又译多因子认证、多因素验证、多因素认证,是一种电脑访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用电脑资源。例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以提高安全性。多重要素验证的概念也广泛应用于计算机系统以外的各领域。
【转】Microsoft Graph 桌面应用程序
sinolover的专栏
09-10 553
桌面应用程序,在我这篇文章的语境中,我是特指在Windows桌面上面直接运行的.NET应用程序,包括Console Application,WPF Application,Windows Forms Application, UWP Application,并且限于篇幅,我只会以Console Application作为演示,因为无论表现形式如何不同,它们从本质上是类似的。 本文所附带示例代码可以通过https://github.com/chenxizhang/office365dev/tree/mas
Azure AD B2C
castm的专栏
03-28 1726
目录 1. 什么是OAuth 2. 什么是OpenID Connect 3. 什么是Azure AD B2C 4.SPA中应用Azure AD B2C进行授权 5. 重要的claim讲解 对于企业来说传统的方式是采用ADFS联合身份验证,企业内部的员工放在某个Domain中,针对Domain中的group对用户进行用户权限管理,在开发的角度来说可以针对这个Domain来搭建认证服务器来...
【壹刊】Azure AD B2C(一)初识
dotNET跨平台
05-25 560
一,引言(上节回顾)  上一节讲到Azure AD的一些基础概念,以及如何运用 Azure AD 包含API资源,Azure AD 是微软提供的云端的身份标识和资源访问服务,帮助员工/用...
启用和管理Azure AD特权身份认证
"AZ-500 Exam微软认证是针对微软Azure安全、威胁管理和响应的专业认证,涵盖了Azure安全中心、Azure Active Directory (Azure AD) 的特权身份管理(PIM)、网络安全、日志和威胁检测等多个方面的知识。" 在AZ-500认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Anesthesia丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值