如何解决当服务位于代理后面时,如何使用证书从 Azure Active Directory 获取访问令牌
我需要创建调用图形 API 来访问公司数据的服务。为了进行身份验证,我需要来自 Azure Active Directory 的 JWT 令牌。身份验证将使用带有签名证书的应用程序模式。我尝试使用 MSAL 节点 ConfidentialClientApplication 但该服务需要使用 http 代理连接到互联网。据我所知,MSAL 节点不支持此功能,调用导致库无法解析“https://login.microsoftonline.com”的地址。如何在不使用 od MSAL 的情况下让 MSAL 节点使用代理或获取 JWT 令牌?
解决方法
为了从没有 MSAL 节点的 azure 活动目录中获取 JWT 令牌,必须自己生成适当的 JWT 令牌,然后使用证书私钥对其进行签名。令牌的头部由以下字段组成:
{
typ: "JWT",alg: "RS256",kid: "156E...",x5t: "iTYVn..."
}
- “kid”是用于签署请求的证书的指纹 - 这是一个很好的示例,如何使用 powershell https://stackoverflow.com/a/32980899/3588432
- “x5t”是经过 base64 编码和消毒的证书指纹。
base64 编码字符串的清理意味着:
- 在末尾修剪“=”符号
- 将“/”替换为“_”
- 用“-”替换“+”
用于清理的示例性 C# 代码:
var sanitized = s.Split('=')[0].Replace('+','-').Replace('/','_');
和JS代码:
var sanitized = s.split('=')[0].replace('+','-').replace('/','_');
令牌的有效载荷由以下字段组成:
{
aud: "https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token",iss: "{clientId}",nbf: 1617952610,exp: 1617953210,sub: "{clientId}",jti: "e13efcf..."
}
- {tenantId} 和 {clientId} 是我们正在验证的应用程序的 Azure AD 数据
- "nbf" 是令牌开始有效的时间,通常是令牌生成的时间。它具有 unix 纪元格式 https://en.wikipedia.org/wiki/Unix_time 并且是一个整数。
- "exp" - 令牌以 unix epoch 格式过期的时间。
- "jti" - 唯一的令牌标识符。它可能是随机生成的 guid。每个请求都应该不同。
如何在 JavaScript 中获取“nbf”值的示例:
var nbf = Math.floor(new Date().getTime() / 1000);
当准备好的标头和有效负载应该被序列化(通过清理)与“.”连接时:
var token = JSON.stringify(header) + "." + JSON.stringify(payload);
然后我们需要使用证书私钥对其进行签名,使用 base 64(经过清理)对其进行编码并准备一个 clientAssertion 值:
var clientAssertion = token + "." + signedToken;
最后一步可以发送请求以获取 JWT 令牌:
const body = new URLSearchParams();
const token = await fetch("https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token",{
agent: new HttpsProxyAgent("http://..."),body: new URLSearchParams({
"client_assertion": clientAssertion,"client_id": "{clientId}","scope": "https://graph.microsoft.com/.default"
"client_assertion_type": "urn:ietf:params:oauth:client-assertion-type:jwt-bearer"
"grant_type": "client_credentials"
}),method: "POST",headers: {
"content-type": "application/x-www-form-urlencoded"
}
})
.then(response => response.json().access_token);
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。