那些遇到过的问题

验证 Azure APIM 策略中的多个颁发者

Rya*_*sch 4 azure azure-api-management

我工作的公司多年来收购了多种产品。
我们一直在开发共享的微服务生态系统。
产品(当前)对不同的 IDP(例如 Auth0、Azure B2C)进行身份验证。后端微服务可以很好地处理多个颁发者,但我们还希望在 API 网关 - Azure APIM 上进行身份验证检查,并在 JWT 访问令牌无效时进行短路。

如何在 Azure APIM 中验证多个颁发者?

文档中,我可以看到我可以指定多个颁发者,但只有 1 个 openid-config。如果只有 1 个 openid-config,如何获取多个发行者的公共签名密钥?据推测,它是为了获取 JWKS 端点,然后获取信息来验证令牌签名......

以下是我正在讨论的 APIM(入站)政策的一部分:

<validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" require-expiration-time="true" require-signed-tokens="true">
    <openid-config url="https://example-company.au.auth0.com/.well-known/openid-configuration" />
    <audiences>
        <audience>test</audience>
        <audience>blah</audience>
    </audiences>
    <issuers>
        <issuer>https://example-company.au.auth0.com</issuer>
        <issuer>http://contoso.com/</issuer>
    </issuers>
</validate-jwt>
Run Code Online (Sandbox Code Playgroud)

NSj*_*nas 6

这可以通过首先解码令牌并when在验证其中一项声明之前添加条件来完成。

<set-variable 
   name="iss" 
   value="@(context.Request.Headers.GetValueOrDefault("Authorization", "")?.Split(' ')?.ElementAtOrDefault(1)?.AsJwt()?.Claims["iss"]?.FirstOrDefault() ?? "")" 
/>
<choose>
    <when condition="@(context.Variables.GetValueOrDefault("iss", "").Equals("myIssuer.com"))">
       <validate-jwt configuration1... />
    </when>
    <otherwise>
       <validate-jwt configuration2... />
    </otherwise>
</choose>
Run Code Online (Sandbox Code Playgroud)

Rya*_*sch 5

只是为了澄清;我工作的公司有多种产品,每个产品都有一个单独的 IDP 和/或租户 - 基本上产品之间没有交叉使用。

validate-jwt策略仅允许 1 个openid-config元素,但对于我的场景,我有多个 OpenId 配置...

我设法通过执行以下操作来解决此问题:

<choose>
    <when condition="@(context.Request.Headers.GetValueOrDefault("X-ProductCode","") == "XYZ")">
        <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" require-expiration-time="true" require-signed-tokens="true">
            <openid-config url="https://xyz.au.auth0.com/.well-known/openid-configuration" />
            <audiences>
                <audience>xyz-audience1</audience>
            </audiences>
        </validate-jwt>
    </when>
    <when condition="@(context.Request.Headers.GetValueOrDefault("X-ProductCode","") == "ABC")">
        <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" require-expiration-time="true" require-signed-tokens="true">
            <openid-config url="https://abc.au.auth0.com/.well-known/openid-configuration" />
            <audiences>
                <audience>abc-audience1</audience>
                <audience>abc-audience2</audience>
            </audiences>
        </validate-jwt>
    </when>
</choose>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3655 次

最近记录:

3 年,4 月 前
相关归档
Azure ASP .net WebApp请求超时 21
AzureBlob 上传错误:指定的 Blob 已存在 12
如何在 Azure 函数的自定义 HTTP 路由中指定查询参数? 8
tableclient.RetryPolicy Vs. TransientFaultHandling 6
JWT 中的 Azure AD 自定义声明 6
使用user/pass向web.config添加基本身份验证的最简单方法 5
如何在 Azure 搜索中重命名索引 5
没有这样的主机是已知的 —&gt; System.Net.Http.HttpRequestException: 5
Azure 应用服务计划 CPU 无明显原因激增 3
如何从 Azure BLOB 中的目录中获取所有文件 3
难疑归档
如何丢弃Git中的未分级更改? 4562
Python中追加与扩展列表方法的区别 3119
如何在Bash中的分隔符上拆分字符串? 1885
Bower和npm有什么区别? 1723
JavaScript检查变量是否存在(定义/初始化) 1642
如何迭代Pandas中的DataFrame中的行? 1551
如何在JavaScript中将十进制转换为十六进制? 1387
在Bash中循环遍历一串字符串? 1371
如何删除重复的行? 1254
检查是否使用jQuery选中了复选框 1122