如何解决哪个 azure-spring-boot-sample-active-directory 示例用于验证来自 Vue.js 应用程序的 Spring Boot 应用程序中的访问令牌?
我有一个使用 @azure/msal-browser 保护的前端应用程序 (Vue.js)。我在 Azure 中有一个“应用程序注册”,用于验证用户是否是我们 AD 的一部分以及是否允许他/她访问该网页。这工作正常。用户需要先进行身份验证,然后才能访问网页。
网页本身对 REST API 执行多个 AJAX 调用,这只不过是启用了 Spring Web 的 Spring Boot 应用程序。这个后端是不安全的......还没有(!)。
目标:
我想保护后端,以便您只有拥有有效的访问令牌才能查询 REST API。在向后端执行调用时,前端会添加 Authentication: Bearer XXX 令牌。
我查看了此处的示例:https://github.com/Azure/azure-sdk-for-java/tree/master/sdk/spring/azure-spring-boot-samples,我看到了 4 个选项:
- azure-spring-boot-sample-active-directory-resource-server-by-filter-stateless
- azure-spring-boot-sample-active-directory-resource-server-by-filter
- azure-spring-boot-sample-active-directory-resource-server-obo
- azure-spring-boot-sample-active-directory-resource-server
前两个似乎有点过时,因为如果我在本地运行它们,我会收到所有已弃用警告。但是这些示例中的哪一个可以涵盖我的用例?
总结:
我想...
- ... 在前端使用
msal-browser 授权用户
- ...只需将访问令牌添加为标头,即可从前端(好吧,客户端浏览器执行 AJAX 调用)向后端执行请求
- ...后端自动验证令牌,如果有效,后端返回数据
感谢您的任何反馈!
解决方法
我以前也有同样的想法,这是我的解决方案。
前端使用微软提供的msal.js实现登录模块,并通过它生成访问令牌。然后在请求头中发送带有 Bearer 令牌的 ajax 请求。在我的 springboot 后端应用程序中,参考 this sample 添加过滤器以验证传入请求中是否包含有效的访问令牌。过滤器需要检查请求头中是否有令牌,然后对其进行解码并检查令牌是否已过期,如果需要,是否具有正确的作用域。
这里还有另一个任务,我们需要为后端 api 设置范围。这需要在 azure ad 中公开 api(创建 azure ad 应用程序并去公开 api Blade 以执行下一步操作)。详情可参考this。这里要注意,这里暴露的api是用来作为生成access token时的输入参数的(我们需要设置scope参数,暴露的api是给以前的azure ad app添加这个api权限后的作用域)生成访问令牌)。
执行这些操作后,过滤器可以检查令牌是否包含您之前自定义的范围。我认为这是验证令牌最重要的。
过滤器代码:https://stackoverflow.com/a/66097364/14574199
并且由于前端-后端模型,您可能需要为您的 springboot 应用程序使用 CORS 过滤器,如下所示:
package com.example.demo;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
@Order(Integer.MIN_VALUE)
@Component
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
throws IOException,ServletException {
HttpServletResponse res = (HttpServletResponse) response;
res.addHeader("Access-Control-Allow-Credentials","true");
res.addHeader("Access-Control-Allow-Origin","*");
res.addHeader("Access-Control-Allow-Methods","GET,POST,DELETE,PUT");
res.addHeader("Access-Control-Allow-Headers","Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN,Authorization");
if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
response.getWriter().println("ok");
return;
}
chain.doFilter(request,response);
}
@Override
public void destroy() {
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
