如何通过OAuth2.0完成Microsoft平台登录验证

已于 2023-02-10 13:33:50 修改
阅读量2.5k 收藏 5
点赞数
文章标签: microsoft 后端 Powered by 金山文档
于 2023-01-28 11:52:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43478725/article/details/128767463
版权

参考内容:

OAuth2 in Python | TestDriven.io

代表用户获取访问权限 - Microsoft Graph | Microsoft Learn

OAuth 2.0 Bearer Token Usage

首先需要了解的是,通过Microsoft平台做身份验证,有一些配置时拿到的参数不可或缺(在身份验证的步骤中会用到,不一定是同一个步骤用到),其中包括:

  • client_id:应用程序id

  • client_secret:应用程序密钥

  • authority:

微软提供的authority形如https://login.microsoftonline.com/Enter_the_Tenant_Name_Here,Tenant_Name是租户id,在配置微软账号的时候会给出,是使用者一开始就会已知的参数

  • redirect_uri:身份验证成功后重定向到的指定网址

  • scope:服务端配置的允许客户端访问资源的作用域(类似于能访问到什么样的程度),是OAuth2.0的一种机制

  • state:一串应用提供的随机数,用于方便检测跨站点请求伪造(CSRF)针对客户端的攻击(见微软官方文档说明)

  • code:获取access_token必需的参数,一开始未知,需要服务端返回

访问用户资源的流程如下图所示:

大体上来说包括3步:①获取授权(拿到code) ②通过code拿到access token ③通过access token访问资源。

获取授权(拿到code)

在实践时,通过将client_id,response_type,redirect_uri,scope和state发送给形如authority+/oauth2/v2.0/authorize 的终结点来拿到code。

❀ 需要注意的是,response_type是在这一步必须要携带的参数,且response_type=code,官网还提供了一个参数叫response_mode,但是它不是必需的参数,不加也可以,如果要加,可以把response_mode设置成query或者form_post

拿到access token

会发现通过上一步之后,code会附在redirect_uri的 '?' 之后,形如 redirect_uri?code=xxxx ,所以很容易就能想到通过request.args.get('code')拿到这一串code。

然后我们通过将client_id,client_secret,code,redirect_uri,grant_typeinclude_client_id

发送给形如 authority+/oauth2/v2.0/token 的终结点来拿到access token。

❀ 需要注意的是,在实践中,如果使用了python的oauthlib这个第三方库(一般为了方便还是会使用),在数据中就不需要带有grant_type,因为oauthlib会默认帮你添加(参见web_application.py)

❀ include_client_id的默认值是True,是为了防止发送数据时还未授权(已经授权过其实不需要这个参数,如果为了保险也可以加,没什么影响)

通过access token访问用户资源

通过上一步操作,可以在返回的json格式数据中找到access_token字段,这就是访问用户资源的🔑。(我们离成功已经很接近了!!!!....)

这一步我们只需要把access_token包含在请求标头,向https://graph.microsoft.com/v1.0/me 请求用户资源即可,标头可形如:

header = {

'Authorization': 'Bearer {}'.format(client.token['access_token'])

}

这个意思就是,标头的形式是 Bearer xxxxx(xxxxx是access token)

至于为什么要用Bearer开头,有部分文章说是Authorization头定义的schema,除了Bearer以外还有其他的schema,如果按照官方资料来简单理解,Bearer Token就是一个OAuth2.0访问资源的标准规范,有兴趣可以看这个介绍文档:

RFC 6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage (rfc-editor.org)

另外还需要注意的是,这个网关中间的部分确实是/v1.0/,不像其他的终端节点是/v2.0/。

Microsoft Graph是一个可以访问Microsoft云中海量数据的API(稍加尝试,可以发现,如果用的是https://graph.microsoft.com/v1.0/users,会得到所有进行过身份验证的用户的信息....),返回的也是json格式的数据,其中可能包括用户的姓名、邮箱、职业等.....后续可以根据项目和个人需求拿取字段使用。

以上就是根据OAuth2.0在Microsoft平台进行身份验证(单点登录sso)的流程。本文叙述的是通过python来进行的操作,因为python有自带一些第三方库来简化操作,如果使用其他的编程语言,流程也类似,只是可能在向服务端发送凭据时需要特别注意不要漏掉某些字段。

一只野生的桔子
关注
学徒浅析Android——基于MicrosoftOAUTH2.0认证(一)
lz8362的专栏
10-09 684
之所以会做MicrosoftOAUTH2.0对应,完全是因为这个通知,时间结点是2020年10月13号,我在8月初才被告知这件事。当时并不觉得是个难点,毕竟微软是个大厂,大厂推出的服务变动都是有指导文件,抱着这份信任,开始着手对应这个变动,但也因此一步一步走向深渊。为了对后来者提供必要的帮助,确保不再走我走过得坑,所以写下这个系列,希望对大家有所帮助。本章将介绍跟Exchange、outlook相关的基本概念和术语,理解了这些术语和概念,将帮助你更直观的查阅Microsoft的文档。 其他相关文章: 基于
OAuth 2.0几种授权模式
互联网叫兽
03-04 905
OAuth 2.0 一种授权协议,常用来授权第三方应用访问受保护的资源服务。 一、OAuth2.0四种角色 资源所有者 具有许可受保护资源访问权限的实体。 资源服务器 管理受保护资源的服务器: 客户端 第三方应用程序,如浏览器、app 授权服务器 授权服务器(颁发访问令牌、验证令牌、刷新令牌) 授权服务器可以和资源服务器是同一个服务,或者不同服务。 二、OAuth 2.0四种模式 授权码(authorization-code) 隐藏式(implicit) 密码式(passwor.
microsoft-oauth:使用 Microsoft 帐户登录(例如 Hormail、Live.com 等、Outlook.com 等...)
06-11
microsoft-oauth 非常早期的草案 - 目前未安装且不在上。 使用 Microsoft 帐户登录(例如 Hormail、Live.com 等、Outlook.com 等...)非常感谢人们 @khamoud 和 Jacob 使此功能得以启动 也基于和其他 OAuth微软 OAuth2 的基本包...允许使用 Hotmail、Live.com、Outlook.com 帐户等登录 配置: ServiceConfiguration.configurations.insert({ service: "microsoft", clientId: <your>, secret: <your>, //loginStyle: "redirect", display: "popup", sco
Python oauth2登录Outlook读取邮件
weixin_44665546的博客
10-27 4327
微软登录方式发生了改变,需要用 oauth2 ,以前的写的脚本都登录不上了,本文记录下更新后的登录方式。
oauth2 方式获取outlook邮箱收件箱(python)
AoLuo的博客
09-06 1064
【代码】oauth2 方式获取outlook邮箱收件箱(python)
理解OAuth2.0认证与客户端授权码模式详解
热门推荐
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际...
如何支持微软邮箱OAuth2.0认证
11-16 2007
在知行之桥中如何支持微软邮箱AOuth2.0认证
OAuth 2.0 构建微服务身份认证(二):java实现过程
kylin058的博客
08-23 1万+
Spring Boot 有了Spring Boot这样的神器,可以很简单的使用强大的Spring框架。你需要关心的事儿只是创建应用,不必再配置了,“Just run!”,这可是Josh Long每次演讲必说的,他的另一句必须说的就是“make jar not war”,这意味着,不用太关心是Tomcat还是Jetty或者Undertow了。专心解决逻辑问题,这当然是个好事儿,部署简单了很
微软认证授权服务器,oauth 2.0到微软认证服务器
weixin_42468901的博客
08-04 624
需要格式化令牌请求的帮助。我搜索了一遍,看了很多文档。提琴手的回应是关于“grant_type”的大喊,但它包括在内。oauth 2.0到微软认证服务器POST http://localhost:4400/ripple/xhr_proxy?tinyhippos_apikey=ABC&tinyhippos_rurl=https%3A//login.microsoftonline.com/[r...
1.基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能
zking_sa的博客
05-24 1043
学习目标: 提示:OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。 例如: 用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。 来自RFC 6749 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意 以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 2. OAuth2中的角色: 提示: 1. 资源所有者 能够授予对受保护资源的访问权限的实体,如果资源的所有者为.
c# OAuth2.0
05-25
在C#开发环境中,我们可以使用OAuth2.0来实现社交平台如QQ和新浪的登录集成。在ASP.NET MVC框架下,Owin组件提供了一种简便的方式来实现OAuth2.0的对接。 标题中的"C# OAuth2.0"指的是使用C#语言来实现OAuth2.0授权...
webapi基于Owin中间件的oauth2.0身份认证
10-07
1. **安装Owin中间件**:在ASP.NET Web API项目中,首先需要通过NuGet包管理器安装`Microsoft.Owin.Security.OAuth`和`Microsoft.Owin.Security.Cookies`,这两个包分别用于OAuth2.0授权和Cookie认证。 2. **配置...
NET Core 3.1 MVC演示Xero OAuth 2.0客户端身份验证OAuth 2.0API
01-24
【标题】"NET Core 3.1 MVC演示Xero OAuth 2.0客户端身份验证OAuth 2.0 API" 涉及的关键知识点包括: 1. **NET Core 3.1**: 这是Microsoft推出的跨平台开发框架,用于构建高性能、模块化的Web应用、APIs和服务。...
php oauth2.0认证登陆,理解OAuth2.0认证与客户端授权码模式详解
weixin_42393829的博客
03-10 843
一、什么是OAuth协议OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和...
Oauth2实战》四种许可模式比较
weixin_42935902的博客
04-23 379
资源拥有者许可机制 用户输入用户名和密码去获取token 这种许可机制就是我们平时最常见的登录页面,输入用户名和密码或者手机号验证码。密码虽然被讨厌,但是有时候也不得不去使用密码。一个系统可不可以只用微信或者支付宝登录,不用手机号和密码呢? ...
OAuth2.0授权码/oauth/authorize接口调用unauthorized异常
tianlong1569的专栏
09-03 1万+
调用/oauth/authorize接口时,代码首先进入org.springframework.web.method.support.InvocableHandlerMethod类的invokeForRequest方法;代码如下: @Nullable public Object invokeForRequest(NativeWebRequest request, @Nullable ModelAndViewContainer mavContainer, Object... providedArg
学徒浅析Android——基于MicrosoftOAUTH2.0认证(二)
lz8362的专栏
10-09 1234
MSAL库的引用和定制 本章围绕Microsoft Authentication Library讲述两件事:1、如何引用MSAL库;2、如何对MSAL库进行二次开发。 其他相关文章: 基于MicrosoftOAUTH2.0认证(一):基本概念梳理 基于MicrosoftOAUTH2.0认证(三):MSAL API和Microsoft API的使用 基于MicrosoftOAUTH2.0认证(四):常见错误归纳 1. msal库的引用 ...
oauth2授权码模式单点登录
最新发布
学海无涯,我用JAVA
10-03 1002
oauth2 有四种模式,常用的为密码和授权码,剩下两种几乎不用密码模式,很好理解,就是根据输入的用户名/密码进行登录认证的,最终返回一个合法token授权码(grant_type = authorization_code), 是利用唯一的客户端信息,申请的一个临时授权码,然后根据授权码换取合法token,可以利用这个特性,达到单点登录的效果提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
.net core 实现oauth2.0服务端,含JWT
06-09
要实现OAuth2.0服务端,需要遵循OAuth2.0协议,实现授权服务器和资源服务器之间的交互。以下是基本的步骤: 1.创建一个ASP.NET Core Web API项目。 2.安装IdentityServer4和Microsoft.AspNetCore.Authentication.JwtBearer NuGet包。 3.在Startup.cs中配置IdentityServer,并添加JwtBearer认证。 4.创建客户端和API资源,并将它们添加到IdentityServer中。 5.实现OAuth2.0授权终结点,例如授权码授权、密码授权、客户端凭证授权等。 6.实现API资源的保护,验证JWT令牌并确保访问令牌有效。 7.测试OAuth2.0授权和保护API资源。 下面是一个简单的示例,演示如何实现OAuth2.0服务端,包括JWT: 1. 在Startup.cs中配置IdentityServer和JwtBearer认证。示例代码如下: ```csharp public void ConfigureServices(IServiceCollection services) { //添加IdentityServer服务 services.AddIdentityServer() .AddInMemoryClients(Config.Clients) .AddInMemoryApiResources(Config.Apis) .AddDeveloperSigningCredential(); //添加JwtBearer认证 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = "http://localhost:5000"; //IdentityServer地址 options.RequireHttpsMetadata = false; //HTTPS设置为false,方便测试 options.Audience = "api1"; //API资源名称 }); services.AddControllers(); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseRouting(); app.UseIdentityServer(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } ``` 2. 创建客户端和API资源。示例代码如下: ```csharp public static class Config { public static IEnumerable<Client> Clients => new List<Client> { new Client { ClientId = "client1", ClientSecrets = { new Secret("secret1".Sha256()) }, AllowedGrantTypes = GrantTypes.ClientCredentials, AllowedScopes = { "api1" } } }; public static IEnumerable<ApiResource> Apis => new List<ApiResource> { new ApiResource("api1", "My API") }; } ``` 3. 实现授权终结点。示例代码如下: ```csharp [HttpPost] [Route("/connect/token")] public async Task<IActionResult> Token([FromBody] TokenRequest request) { if (request.GrantType == "password") { var user = _userService.ValidateCredentials(request.UserName, request.Password); if (user != null) { var accessToken = await _tokenService.CreateAccessTokenAsync(user); return Ok(new { access_token = accessToken, token_type = "Bearer", expires_in = (int)_tokenService.Options.Expiration.TotalSeconds }); } } return BadRequest(new { error = "unsupported_grant_type" }); } ``` 4. 实现API资源的保护。示例代码如下: ```csharp [Authorize] [HttpGet] [Route("test")] public IActionResult Test() { return Ok(new { message = "Hello, World!" }); } ``` 以上是一个基本的OAuth2.0服务端实现,包括JWT。你可以根据自己的需求进行调整和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一只野生的桔子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值