时间戳

首页 > 解决方案 > 天蓝色广告 B2C,Java 应用程序

java - 天蓝色广告 B2C,Java 应用程序

问题描述

我已经搜索了很多关于 Spring boot 的支持、使用 Azure AD B2C 安全性的 REST 实现,但找不到任何东西(除了 Azure AD 应用程序或 .net 应用程序)。

这是否意味着 Azure AD B2C 不支持 java / spring boot 应用程序?

如果可能,是否有人尝试过并让我知道需要从 Azure AD Web 应用程序更改为 Azure AD B2C Webb 应用程序的配置。

期待您的支持。

谢谢

标签: javaspring-bootazure-ad-b2c

解决方案

它确实:)

对于 Spring 授权服务器和资源服务器。我最近的实现是资源服务器(如果您只需要保护 REST API 并且您的应用程序只使用令牌,其他前端应用程序负责登录重定向等),这是一个很棒的关于使用 oAuth2 的 spring 安全性的教程,您可以在baeldung找到. 我基于教程的安全配置是:

    @Configuration
    @EnableResourceServer
    @EnableScheduling
    @RequiredArgsConstructor   
    public class SecurityResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Value("${b2c.client-id}")
    private String resourceId;

    private final KeyUtilHandler keyUtilHandler;

    @Primary
    @Bean
    public DefaultTokenServices customTokenServices() {
    DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        return defaultTokenServices;
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {

        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(keyUtilHandler.stringPublicKey());

        return converter;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer configurer) {
        configurer.resourceId(resourceId);
        configurer.tokenServices(customTokenServices());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http
                .sessionManagement().sessionCreationPolicy(STATELESS)
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();

    }
}

如果您在令牌转换器中提供资源 id(azure 客户端 id)和验证器密钥(setVerifierKey) - Spring 将负责将过滤器添加到链中,该过滤器验证来自令牌的签名和基本声明。这就是关于安全配置的全部内容。另一件事是 azure 不提供令牌中的密钥,您可以通过密钥 id(令牌中的“kid”)找到正确的公钥。Azure 还提供必要的值来编码密钥,它们可以在为每个 b2c 租户创建的端点的 json 对象中找到 -

https://login.microsoftonline.com/ {您的租户名称}/discovery/v2.0/keys?p={您的登录注册政策}

例如:https://login.microsoftonline.com/fabrikamb2c.onmicrosoft.com/discovery/v2.0/keys?p=b2c_1_sign_in

{
  "keys": [
    {"kid":"X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk","nbf":1493763266,"use":"sig","kty":"RSA","e":"AQAB","n":"tVKUtcx_n9rt5afY_2WFNvU6PlFMggCatsZ3l4RjKxH0jgdLq6CScb0P3ZGXYbPzXvmmLiWZizpb-h0qup5jznOvOr-Dhw9908584BSgC83YacjWNqEK3urxhyE2jWjwRm2N95WGgb5mzE5XmZIvkvyXnn7X8dvgFPF5QwIngGsDG8LyHuJWlaDhr_EPLMW4wHvH0zZCuRMARIJmmqiMy3VD4ftq4nS5s8vJL0pVSrkuNojtokp84AtkADCDU_BUhrc2sIgfnvZ03koCQRoZmWiHu86SuJZYkDFstVTVSR0hiXudFlfQ2rOhPlpObmku68lXw-7V-P7jwrQRFfQVXw"}
  ]
}

您需要“n”和“e”值来为您的客户端应用程序编码有效密钥。有现成的库,但您可以编写自己的实现。我还使用 rest 模板来获取 json 并提取值。根据 microsoft 文档,密钥可以不时更改,因此您可能需要安排方法。

public class KeyUtilHandler {

    @Value("${b2c.key-url}")
    private String keyUrl;

    @Value("${b2c.sign-up-or-in-user-flow}")
    private String signUpOrInUserFlow;

    @Value("${b2c.tenant}")
    private String tenant;

    private String eValue;
    private String nValue;

    public String stringPublicKey(){

        setAzureKeys();

        byte[] modulusBytes = Base64.getUrlDecoder().decode(nValue);
        BigInteger modulusInt = new BigInteger(1, modulusBytes);

        byte[] exponentBytes = Base64.getUrlDecoder().decode(eValue);
        BigInteger exponentInt = new BigInteger(1, exponentBytes);

        KeyFactory keyFactory;

        RSAPublicKeySpec publicSpec = new RSAPublicKeySpec(modulusInt, exponentInt);

        String encodedStringKey = null;

        {
            try {
                keyFactory = KeyFactory.getInstance("RSA");

                RSAPublicKey publicKey = (RSAPublicKey) keyFactory.generatePublic(publicSpec);

                byte [] encodedKey = publicKey.getEncoded();

                encodedStringKey = Base64.getEncoder().encodeToString(encodedKey);

            } catch (NoSuchAlgorithmException | InvalidKeySpecException e) {
                e.printStackTrace();
            }
        }

        return String.format("-----BEGIN PUBLIC KEY-----%s-----END PUBLIC KEY-----"
                    , encodedStringKey);

    }

    private void setAzureKeys (){

        String resolvedKeyUrl = String.format(keyUrl, tenant, signUpOrInUserFlow);

        RestTemplate azureKeys = new RestTemplate();
        AzureKeySetDto result = azureKeys.getForObject(resolvedKeyUrl, AzureKeySetDto.class);
        if (Objects.isNull(result.getKeys())) {
            throw new UnableToGetResourceException();
        }
        Map<String, String> keyMap = result.getKeys().stream()
                .findFirst()
                .get();
        eValue = keyMap.get("e");
        nValue = keyMap.get("n");
    }

    @Scheduled(fixedRate = TWENTY_HOURS_IN_MILIS)
    private void renewKeys(){
            setAzureKeys();
    }
}

推荐阅读