那些遇到过的问题

重新使用jwt从另一个API调用API

des*_*ien 4 oauth oauth-2.0 asp.net-web-api owin azure-active-directory

我在 Azure Active Directory 中有一个单租户场景,其中 API1 需要使用身份验证调用另一个 API2,并且 API1 是从 SPA 调用的。

仅传递 API1 中从 SPA 收到的用户 JWT 来调用 API2 进行身份验证是否正确?

在此输入图像描述

new WindowsAzureActiveDirectoryBearerAuthenticationOptions
    {
        TokenValidationParameters = new TokenValidationParameters() {
            SaveSigninToken = true,
            ...
Run Code Online (Sandbox Code Playgroud)

就像在:https ://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof

所有 API 均通过 ASP.NET Web API 实现,SPA 则使用适用于 JavaScript 的 Active Directory 身份验证库 (ADAL)。

Sha*_*izi 5

传递从第一步获得的令牌对于第二步来说是不正确的。每个访问令牌都有该令牌针对的特定受众,并且由于 API 1 和 API 2 不同,因此该令牌的受众值只能与两者之一匹配。

您链接到正确的示例,即代表流程。此流程允许 API 1 将第一个令牌交换为全新令牌,其中客户端变为 API 1,资源变为 API 2。

您可以在此处找到该协议的说明

// line breaks for legibility only

POST /oauth2/token HTTP/1.1
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer
&client_id=625391af-c675-43e5-8e44-edd3e30ceb15
&client_secret=0Y1W%2BY3yYb3d9N8vSjvm8WrGzVZaAaHbHHcGbcgG%2BoI%3D
&resource=https%3A%2F%2Fgraph.windows.net
&assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6InowMzl6ZHNGdWl6cEJmQlZLMVRuMjVRSFlPMCIsImtpZCI6InowMzl6ZHNGdWl6cEJmQlZLMVRuMjVRSFlPMCJ9.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.R-Ke-XO7lK0r5uLwxB8g5CrcPAwRln5SccJCfEjU6IUqpqcjWcDzeDdNOySiVPDU_ZU5knJmzRCF8fcjFtPsaA4R7vdIEbDuOur15FXSvE8FvVSjP_49OH6hBYqoSUAslN3FMfbO6Z8YfCIY4tSOB2I6ahQ_x4ZWFWglC3w5mK-_4iX81bqi95eV4RUKefUuHhQDXtWhrSgIEC0YiluMvA4TnaJdLq_tWXIc4_Tq_KfpkvI004ONKgU7EAMEr1wZ4aDcJV2yf22gQ1sCSig6EGSTmmzDuEPsYiyd4NhidRZJP4HiiQh-hePBQsgcSgYGvz9wC6n57ufYKh2wm_Ti3Q
&requested_token_use=on_behalf_of
&scope=openid
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2428 次

最近记录:

8 年,2 月 前
相关归档
根据请求从MVC web api返回xml或json 26
Python - 使用Oauth2的SSL问题 13
OAuth - 访问令牌有效期? 11
间歇性"无法加载类型'System.Net.Http.Formatting.FormUrlEncodedMediaTypeFormatter'"错误 10
通过表单发布上传图片 7
无法从Windows应用商店应用程序调用ASP.NET MVC 4 WebApi 5
如何在ActionFilter属性中的ASP.NET WebApi中重定向到另一个区域 5
github api v3中的oauth流无法正常工作 4
同步从Web API调用外部api 2
有没有办法避免"https://www.googleapis.com/auth/plus.login"范围? 1
难疑归档
如何在Linux上找到包含特定文本的所有文件? 4914
如何在不重新加载页面的情况下修改URL? 2221
使用jQuery禁用/启用输入? 2216
如何使用Git将标签推送到远程存储库? 2091
如何在Git中检索当前提交的哈希值? 1788
如何检查变量是否是JavaScript中的数组? 1713
match_parent和fill_parent有什么区别? 1371
如何获取MySQL用户帐户列表 1320
如何检查字符串是否包含Objective-C中的另一个字符串? 1200
.NET - 枚举的jSON序列化为字符串 1088