当服务位于代理后面时，如何使用证书从 Azure Active Directory 获取访问令牌

为了从没有 MSAL 节点的 azure 活动目录中获取 JWT 令牌，必须自己生成适当的 JWT 令牌，然后使用证书私钥对其进行签名。令牌的头部由以下字段组成：

{
  typ: "JWT",alg: "RS256",kid: "156E...",x5t: "iTYVn..."
}

• “kid”是用于签署请求的证书的指纹 - 这是一个很好的示例，如何使用 powershell https://stackoverflow.com/a/32980899/3588432
• “x5t”是经过 base64 编码和消毒的证书指纹。

base64 编码字符串的清理意味着：

• 在末尾修剪“=”符号
• 将“/”替换为“_”
• 用“-”替换“+”

用于清理的示例性 C# 代码：

var sanitized = s.Split('=')[0].Replace('+','-').Replace('/','_');

和JS代码：

var sanitized = s.split('=')[0].replace('+','-').replace('/','_');

令牌的有效载荷由以下字段组成：

{
  aud: "https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token",iss: "{clientId}",nbf: 1617952610,exp: 1617953210,sub: "{clientId}",jti: "e13efcf..."
}

• {tenantId} 和 {clientId} 是我们正在验证的应用程序的 Azure AD 数据
• "nbf" 是令牌开始有效的时间，通常是令牌生成的时间。它具有 unix 纪元格式 https://en.wikipedia.org/wiki/Unix_time 并且是一个整数。
• "exp" - 令牌以 unix epoch 格式过期的时间。
• "jti" - 唯一的令牌标识符。它可能是随机生成的 guid。每个请求都应该不同。

如何在 JavaScript 中获取“nbf”值的示例：

var nbf = Math.floor(new Date().getTime() / 1000);

当准备好的标头和有效负载应该被序列化（通过清理）与“.”连接时：

var token = JSON.stringify(header) + "." + JSON.stringify(payload);

然后我们需要使用证书私钥对其进行签名，使用 base 64（经过清理）对其进行编码并准备一个 clientAssertion 值：

var clientAssertion = token + "." + signedToken;

最后一步可以发送请求以获取 JWT 令牌：

const body = new URLSearchParams();

const token = await fetch("https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token",{
    agent: new HttpsProxyAgent("http://..."),body: new URLSearchParams({
      "client_assertion": clientAssertion,"client_id": "{clientId}","scope": "https://graph.microsoft.com/.default"
      "client_assertion_type": "urn:ietf:params:oauth:client-assertion-type:jwt-bearer"
      "grant_type": "client_credentials"
    }),method: "POST",headers: {
        "content-type": "application/x-www-form-urlencoded"
    }
})
.then(response => response.json().access_token);