在API上禁用Azure AD令牌

rjjhvcjd 于 2023-11-21 发布在其他

关注(0)|答案(2)|浏览(142)

我使用Azure AD B2C登录React Native应用。此应用可以对CMS（Strapi）进行API调用。在返回响应之前，CMS必须检查发出请求的用户是否已登录。
应用程序中的登录部分工作正常，这是我登录后在应用程序中返回的数据：

{
  "tokenType": "Bearer",
  "refreshToken": "...",
  "scope": "offline_access openid",
  "idToken": "...",
  "issuedAt": 1698310667
}

字符串
然后，应用程序在报头x-activedirectory-token中发送idToken。
我不知道如何在CMS策略（中间件）中检查令牌的有效性。我尝试了@azure/msal-node包，但未能找到一种方法来检查令牌是否有效。
These Azure docs在主题上设置了一个IPv6-Passport中间件，但Strapi使用了不同的路由器（koa），在中间件中添加中间件似乎很奇怪。
首选的解决方案是像@azure/msal-node包，可以检查令牌，或一些Azure端点或类似的东西。
也许我忽略了一些东西，因为我几乎没有Azure AD的经验。也就是说，任何帮助都非常感谢，因为我已经在这个问题上停留了一段时间。

Azure

来源：https://stackoverflow.com/questions/77387478/verifying-azure-ad-token-on-api

2条答案

按热度按时间

i1icjdpr1#

默认情况下，msal应该检查这个，但如果你正在寻找一个库来做这件事，看看here。

赞(0）回复(0）举报 2023-11-21

i86rm4rw2#

感谢@juunas为我指明了正确的方向。我设法通过使用jwks-rsa和jsonwebtoken库获得了所需的行为。这是如何工作的代码示例（基于jsonwebtoken readme中的代码示例）：

import {
  verify as verifyJwt,
  type JwtHeader,
  type SigningKeyCallback,
} from "jsonwebtoken";
import jwksClient from "jwks-rsa";
// Gets the cookie information from the discovery document
const client = jwksClient({
  jwksUri: "https://.../discovery/v2.0/keys?p=b2c_1_signin",
});
function getPublicKey(header: JwtHeader, callback: SigningKeyCallback) {
  client.getSigningKey(header.kid, function (err, key) {
    let signingKey = key.getPublicKey();
    if (!signingKey && "rsaPublicKey" in key && key.rsaPublicKey) {
      signingKey = key.rsaPublicKey;
    }
    callback(null, signingKey);
  });
}
// Verify the token with the public key, constructed by the jwksClient
verifyJwt(activeDirectoryToken, getPublicKey, {}, (err) => {
  if (err) {
    // Invalid token
    return;
  }
  // Valid token
});

字符串

展开查看全部

赞(0）回复(0）举报 2023-11-21

我来回答

在API上禁用Azure AD令牌

2条答案

相关问题

热门标签

最新问答