java - 天蓝色广告 B2C,Java 应用程序
问题描述
我已经搜索了很多关于 Spring boot 的支持、使用 Azure AD B2C 安全性的 REST 实现,但找不到任何东西(除了 Azure AD 应用程序或 .net 应用程序)。
这是否意味着 Azure AD B2C 不支持 java / spring boot 应用程序?
如果可能,是否有人尝试过并让我知道需要从 Azure AD Web 应用程序更改为 Azure AD B2C Webb 应用程序的配置。
期待您的支持。
谢谢
解决方案
它确实:)
对于 Spring 授权服务器和资源服务器。我最近的实现是资源服务器(如果您只需要保护 REST API 并且您的应用程序只使用令牌,其他前端应用程序负责登录重定向等),这是一个很棒的关于使用 oAuth2 的 spring 安全性的教程,您可以在baeldung找到. 我基于教程的安全配置是:
@Configuration
@EnableResourceServer
@EnableScheduling
@RequiredArgsConstructor
public class SecurityResourceServerConfig extends ResourceServerConfigurerAdapter {
@Value("${b2c.client-id}")
private String resourceId;
private final KeyUtilHandler keyUtilHandler;
@Primary
@Bean
public DefaultTokenServices customTokenServices() {
DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
defaultTokenServices.setTokenStore(tokenStore());
return defaultTokenServices;
}
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter());
}
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setVerifierKey(keyUtilHandler.stringPublicKey());
return converter;
}
@Override
public void configure(ResourceServerSecurityConfigurer configurer) {
configurer.resourceId(resourceId);
configurer.tokenServices(customTokenServices());
}
@Override
public void configure(HttpSecurity http) throws Exception {
http
.sessionManagement().sessionCreationPolicy(STATELESS)
.and()
.authorizeRequests()
.anyRequest()
.authenticated();
}
}
如果您在令牌转换器中提供资源 id(azure 客户端 id)和验证器密钥(setVerifierKey) - Spring 将负责将过滤器添加到链中,该过滤器验证来自令牌的签名和基本声明。这就是关于安全配置的全部内容。另一件事是 azure 不提供令牌中的密钥,您可以通过密钥 id(令牌中的“kid”)找到正确的公钥。Azure 还提供必要的值来编码密钥,它们可以在为每个 b2c 租户创建的端点的 json 对象中找到 -
https://login.microsoftonline.com/ {您的租户名称}/discovery/v2.0/keys?p={您的登录注册政策}
例如:https://login.microsoftonline.com/fabrikamb2c.onmicrosoft.com/discovery/v2.0/keys?p=b2c_1_sign_in
{
"keys": [
{"kid":"X5eXk4xyojNFum1kl2Ytv8dlNP4-c57dO6QGTVBwaNk","nbf":1493763266,"use":"sig","kty":"RSA","e":"AQAB","n":"tVKUtcx_n9rt5afY_2WFNvU6PlFMggCatsZ3l4RjKxH0jgdLq6CScb0P3ZGXYbPzXvmmLiWZizpb-h0qup5jznOvOr-Dhw9908584BSgC83YacjWNqEK3urxhyE2jWjwRm2N95WGgb5mzE5XmZIvkvyXnn7X8dvgFPF5QwIngGsDG8LyHuJWlaDhr_EPLMW4wHvH0zZCuRMARIJmmqiMy3VD4ftq4nS5s8vJL0pVSrkuNojtokp84AtkADCDU_BUhrc2sIgfnvZ03koCQRoZmWiHu86SuJZYkDFstVTVSR0hiXudFlfQ2rOhPlpObmku68lXw-7V-P7jwrQRFfQVXw"}
]
}
您需要“n”和“e”值来为您的客户端应用程序编码有效密钥。有现成的库,但您可以编写自己的实现。我还使用 rest 模板来获取 json 并提取值。根据 microsoft 文档,密钥可以不时更改,因此您可能需要安排方法。
public class KeyUtilHandler {
@Value("${b2c.key-url}")
private String keyUrl;
@Value("${b2c.sign-up-or-in-user-flow}")
private String signUpOrInUserFlow;
@Value("${b2c.tenant}")
private String tenant;
private String eValue;
private String nValue;
public String stringPublicKey(){
setAzureKeys();
byte[] modulusBytes = Base64.getUrlDecoder().decode(nValue);
BigInteger modulusInt = new BigInteger(1, modulusBytes);
byte[] exponentBytes = Base64.getUrlDecoder().decode(eValue);
BigInteger exponentInt = new BigInteger(1, exponentBytes);
KeyFactory keyFactory;
RSAPublicKeySpec publicSpec = new RSAPublicKeySpec(modulusInt, exponentInt);
String encodedStringKey = null;
{
try {
keyFactory = KeyFactory.getInstance("RSA");
RSAPublicKey publicKey = (RSAPublicKey) keyFactory.generatePublic(publicSpec);
byte [] encodedKey = publicKey.getEncoded();
encodedStringKey = Base64.getEncoder().encodeToString(encodedKey);
} catch (NoSuchAlgorithmException | InvalidKeySpecException e) {
e.printStackTrace();
}
}
return String.format("-----BEGIN PUBLIC KEY-----%s-----END PUBLIC KEY-----"
, encodedStringKey);
}
private void setAzureKeys (){
String resolvedKeyUrl = String.format(keyUrl, tenant, signUpOrInUserFlow);
RestTemplate azureKeys = new RestTemplate();
AzureKeySetDto result = azureKeys.getForObject(resolvedKeyUrl, AzureKeySetDto.class);
if (Objects.isNull(result.getKeys())) {
throw new UnableToGetResourceException();
}
Map<String, String> keyMap = result.getKeys().stream()
.findFirst()
.get();
eValue = keyMap.get("e");
nValue = keyMap.get("n");
}
@Scheduled(fixedRate = TWENTY_HOURS_IN_MILIS)
private void renewKeys(){
setAzureKeys();
}
}
推荐阅读
- django - 更改 Wagtail 页面所有者的“一次性”方法
- linux - 替换两列linux
- excel - Excel VBA - 检查日期是否在动态范围内,如果它们具有匹配的名称和标题,然后采取纠正措施
- javascript - 如何使用纯 Javascript 在 webview 应用程序中捕获后退箭头按钮?
- javascript - 将图像数据 URI(base64)设置为画布背景
- email - 如何使用命令'mail'从Unix发送带有不同颜色文本的邮件?
- c# - IPointerClickHandler Unity 的几个问题
- travis-ci - Puppeteer Travis-CI chrome-headless 不工作
- kong - Kong 自定义错误消息/响应
- r - 在 R 中循环遍历列表并连接字符串(语法)