2. 程式人生 > 其它 >【Azure Developer】如何驗證 Azure AD的JWT Token (JSON Web 令牌)?

【Azure Developer】如何驗證 Azure AD的JWT Token (JSON Web 令牌)?

阿新 發佈:2021-10-20

問題描述

使用微軟Azure AD,對授權進行管理。通過所註冊應用的OAuth API(https://login.chinacloudapi.cn/{TENANT ID}/oauth2/v2.0/token),已經獲取到Token,但是如何在應用端對Token進行驗證呢?

問題場景類似於:一個基於 Java 的API服務,使用Azure AD生產的access_token來做為客戶端訪問API服務的身份驗證。

步驟如下:

  1. 客戶端申請AAD的access_token
  2. 客戶端在header裡新增Authorization引數(值為Bearer <access_token>)訪問API
  3. 服務端在收到header裡的token後,驗證此token是否有效。若有效則進行具體的業務資料處理;若無效,則返回認證失敗

問題是: 在Java程式碼中如何來驗證這個Token是否有效呢?

問題解決

在驗證JWT的關鍵問題中,是需要獲取到生產Token時候的公鑰金鑰。因為 Azure AD 使用一組私鑰簽署JWT Token訪問令牌,並在 JWKS URI 提供相應的公共金鑰。

第一步:通過Azure AD 的 openid-configuration 終結點,可以獲取到 JWKS URI,中國區公用的JWKS URI 為:https://login.partner.microsoftonline.cn/common/discovery/keys ,獲取方式見下圖:

第二步:在程式碼中,直接使用JWKS URI來解析公鑰金鑰,然後生成RSA256Algorithm 物件,以下為程式碼片段:

 URL keysURL = new URL("https://login.partner.microsoftonline.cn/common/discovery/keys");
 JwkProvider provider = new UrlJwkProvider(keysURL);
 Jwk jwk = provider.get(jwt.getKeyId());
 Algorithm algorithm = Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey(), null);
 algorithm.verify(jwt);

全部的Java 程式碼:

package jwttest;

import java.net.MalformedURLException;
import java.net.URL;
import java.security.interfaces.RSAPublicKey;
import java.util.*;
import com.auth0.jwk.Jwk;
import com.auth0.jwk.JwkException;
import com.auth0.jwk.JwkProvider;
import com.auth0.jwk.UrlJwkProvider;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Scanner;

public class Main {


    public static void main(String[] args) {

        System.out.println("Start to verify the AAD TOken...");

        // Using Scanner for Getting Input from User
        Scanner in = new Scanner(System.in);

        String stoken = in.nextLine();
        System.out.println("You entered Token is :: " + stoken);

        if (stoken.length() < 50) {
            stoken = "eyJ0eXAiOiJKV1QiLCJhbGciO......................_-dIQ";

            System.out.println("You entered Token is too short, use the default value ::  " + stoken);
        }

        DecodedJWT jwt = JWT.decode(stoken);

        System.out.println("JWT Key ID is : " + jwt.getKeyId());

        JwkProvider provider = null;
        Jwk jwk = null;
        Algorithm algorithm = null;

        try {
            URL keysURL = new URL("https://login.partner.microsoftonline.cn/common/discovery/keys");
            provider = new UrlJwkProvider(keysURL);
            jwk = provider.get(jwt.getKeyId());
            algorithm = Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey(), null);
            algorithm.verify(jwt);
            // if the token signature is invalid, the method will throw
            // SignatureVerificationException

            System.out.println("JWT Validation completed.");

        } catch (MalformedURLException e) {
            e.printStackTrace();
        } catch (JwkException e) {
            e.printStackTrace();
        } catch (SignatureVerificationException e) {

            System.out.println(e.getMessage());

        }
    }
}

需要新增的依賴有(pom.xml):

  <dependency> 
      <groupId>com.fasterxml.jackson.core</groupId> 
      <artifactId>jackson-core</artifactId> 
      <version>2.13.0</version> 
    </dependency> 
    <dependency> 
      <groupId>com.fasterxml.jackson.core</groupId> 
      <artifactId>jackson-databind</artifactId> 
      <version>2.13.0</version> 
    </dependency> 
    <dependency> 
      <groupId>com.fasterxml.jackson.core</groupId> 
      <artifactId>jackson-annotations</artifactId> 
      <version>2.13.0</version> 
    </dependency> 
    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.16.0</version>
  </dependency>
    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>jwks-rsa</artifactId>
      <version>0.18.0</version>
  </dependency>

程式碼執行結果為:

在上面這段簡單的程式碼中,也先後遇見了啟動異常,主要是新增依賴時候少加了com.fasterxml.jackson.core,並且需要保持版本的一致性。否則,會依次遇見如下錯誤:

錯誤一:java.lang.ClassNotFoundException: com.fasterxml.jackson.core.exc.InputCoercionException

Exception in thread "main" java.lang.NoClassDefFoundError: com/fasterxml/jackson/core/exc/InputCoercionException
        at com.auth0.jwt.impl.JWTParser.addDeserializers(JWTParser.java:58)
        at com.auth0.jwt.impl.JWTParser.<init>(JWTParser.java:24)
        at com.auth0.jwt.impl.JWTParser.<init>(JWTParser.java:20)
        at com.auth0.jwt.JWTDecoder.<init>(JWTDecoder.java:32)   
        at com.auth0.jwt.JWT.decode(JWT.java:45)
        at blob.Main.main(Main.java:36)
Caused by: java.lang.ClassNotFoundException: com.fasterxml.jackson.core.exc.InputCoercionException   
        at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:583)   
        at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178)
        at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521)
        ... 6 more

錯誤二:java.lang.ClassNotFoundException: com.fasterxml.jackson.core.util.JacksonFeature

Exception in thread "main" java.lang.NoClassDefFoundError: com/fasterxml/jackson/core/util/JacksonFeature
        at com.fasterxml.jackson.databind.ObjectMapper.<init>(ObjectMapper.java:673)
        at com.fasterxml.jackson.databind.ObjectMapper.<init>(ObjectMapper.java:576)
        at com.auth0.jwt.impl.JWTParser.getDefaultObjectMapper(JWTParser.java:64)
        at com.auth0.jwt.impl.JWTParser.<init>(JWTParser.java:20)
        at com.auth0.jwt.JWTDecoder.<init>(JWTDecoder.java:32)
        at com.auth0.jwt.JWT.decode(JWT.java:45)
        at blob.Main.main(Main.java:36)
Caused by: java.lang.ClassNotFoundException: com.fasterxml.jackson.core.util.JacksonFeature
        at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:583)
        at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178)
        at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521)
        ... 7 more

只要在引入jackson-corejackson-databindjackson-annotations 時保持版本一直即可解決以上問題。如本示例中使用的版本為:2.13.0

Java 應用驗證Azure AD的 Token演示動畫:

參考資料

Azure Active Directory Token Validation in Java Applications :https://sgonzal.com/2020/04/06/jwt-validation.html#:~:text=Set%20up%20the%20clients%20that%20call%20the%20web,tokens%20issued%20by%20AAD%20in%20a%20Java%20application.

How can I validate an Azure AD JWT Token in Java?:https://stackoverflow.com/questions/60884823/how-can-i-validate-an-azure-ad-jwt-token-in-java

當在複雜的環境中面臨問題,格物之道需:濁而靜之徐清,安以動之徐生。 雲中,恰是如此!

相關推薦

Azure Developer如何驗證 Azure AD的JWT Token (JSON Web )?

問題描述 使用微軟Azure AD,對授權進行管理。通過所註冊應用的OAuth API(https://login.chinacloudapi.cn/{TENANT ID}/oauth2/v2.0/token),已經獲取到Token,但是如何在應用端對Token進行驗證呢?

Azure Developer通過Azure提供的Azue Java JDK 查詢虛擬機器的CPU使用率和記憶體使用率

問題描述 在Azure上建立虛擬機器(VM)後,在門戶上可以檢視監控指標(Metrics),如CPU Usage,Memory,Disk I/O等。那如何通過Java 程式碼獲取到這些指標呢?

Azure Developer使用 Azure VM 上的使用者分配託管標識訪問 Azure Key Vault 中國區程式碼示例

問題描述 在Global版本的Azure Key Vault 文件中,有一節介紹在Azure VM中使用標識獲取訪問令牌,呼叫Key Vault中的資源。但是在示例中,只有curl的命令執行,而沒有程式碼部分。並且訪問的resource都是azure.com,那

Azure Developer使用Azure Resource Graph的查詢語法的示例

文章“Azure DeveloperAzure Resource Graph Explorer中檢視當前訂閱下的所有資源資訊列表並匯出(如VM的名稱,IP地址內網/公網,OS,區域等)”的另一個示例。

Azure Developer使用 Azure Python SDK時,遇見 The resource principal named https://management.azure.com was not found in the tenant China Azure問題的解決辦法

問題描述 在使用Python SDK時候,登入到China Azure (Mooncake)並訪問AlertsManagement資源時候,時常遇見EnvironmentCredential: Authentication failed 的錯誤訊息。

python jwt-用於生成和驗證JSON Web的python模組

JSON Web令牌(JWT)是一種緊湊的,URL安全的方法,用於表示要在兩方之間轉移的宣告。JWT中的宣告被編碼為JSON物件,用作JSON Web簽名(JWS)結構的有效負載或JSON Web加密(JWE)結構的純文字,從而使宣告可以進

Azure DeveloperPython 使用 azure.identity 和 azure.common.credentials 獲取Azure AD的Access Token的兩種方式

問題描述 使用Python程式碼,展示如何從Azure AD 中獲取目標資源的 Access Token。 如要了解如何從AAD中獲取 client id,client secret,tenant id,請參考博文:Azure DeveloperPython程式碼通過AAD認證訪問微

Azure Developer使用 Powershell az account get-access-token 命令獲取Access Token (使用使用者名稱+密碼)

問題描述 在上篇的文章中,我們使用了JAVA SDK,根據使用者名稱和密碼來獲取Azure AD的Access Token,這節,我們將使用Powershell az 命令來獲取Access Token

Azure DeveloperVS Code執行Java 版Azure Storage SDK操作Blob (新建Container, 上傳Blob檔案,下載及清理)

問題描述 是否可以用Java程式碼來管理Azure blob? 可以。在程式碼中加入azure-storage-blob依賴。即可使用以下類操作Azure Storage Blob。

Azure Developer使用REST API獲取Activity Logs、傳入Data Lake的資料格式問題

問題一:. 如何在用REST API獲取活動日誌時,控制輸出的項? 參考REST API對於獲取活動日誌的說明介面,在引數是$filter和$select中可以分別控制過濾條件和輸出項

Azure DeveloperAzure REST API: 如何通過 API檢視 Recovery Services Vaults(恢復保管庫)的備份策略資訊? 如備份中是否含有虛擬機器的Disk

Azure REST API: 如何通過 API檢視 Recovery Services Vaults(恢復保管庫)的備份策略資訊? 如備份中是否含有虛擬機器的Disk

Azure DeveloperAzure Automation 自動化賬號生成的時候怎麼生成連線 與證書 (Connection & Certificate)

Azure Automation:The Azure Automation service provides a highly reliable and scalable workflow execution engine to automate frequently repeated management tasks. The processes are automated through

Azure Developer使用Key Vault的過程中遇見的AAD 認證錯誤

在使用應用程式訪問Key Vault獲取金鑰資訊時,現後遇見了多種認證錯誤。使用的程式碼為:

Azure Developer使用PowerShell Where-Object方法過濾多維ArrayList時候,遇見的詭異問題 -- 當查詢結果只有一個物件時,返回結果修改了物件結構,把多維變為一維

問題描述 編寫PowerShell指令碼,以多維(3維)陣列中第二維度的值進行過濾,並打印出結果

Azure Developer使用 CURL 獲取 Key Vault 中 Secrets 中的值

問題描述 在使用CURL通過REST API獲取Azure Key Vaualt的Secrets值,提示Missing Token, 問如何來生成正確的Token呢?

Azure Developer解答《美麗的數學》一書中P120頁的一道謎題:尋找第四個階乘和數

一道謎題 在觀看《美麗的數學》一書中,在120頁中有一道謎題: 數字145被稱為一個階乘和數, 因為它具有以下有趣的屬性,如果我們將它的各位數字的階乘相加,會得到該數字本身

Azure DeveloperApp Service + PubSub +JS 實現多人版黑客帝國文字流效果圖

需要描述 1)實現黑客帝國文字流效果圖,JS功能 2)部署在雲中,讓大家都可以訪問,App Service實現

Azure 機器人微軟Azure Bot 編輯器系列(1) : 建立一個天氣對話機器人(The Bot Framework Composer tutorials)

歡迎來到微軟機器人編輯器使用教程,從這裡開始,建立一個簡單的機器人。

Azure 機器人微軟Azure Bot 編輯器系列(4) : 使用語言生成功能[LG: Language Generation] (The Bot Framework Composer tutorials)

歡迎來到微軟機器人編輯器使用教程,從這裡開始,建立一個簡單的機器人。

Azure 機器人微軟Azure Bot 編輯器系列(5) : 機器人的卡片式回覆 (The Bot Framework Composer tutorials)

歡迎來到微軟機器人編輯器使用教程,從這裡開始,建立一個簡單的機器人。