时间戳

首页 > 解决方案 > Azure AD OpenId 连接集成

azure - Azure AD OpenId 连接集成

问题描述

我目前正在 java 应用程序上为 OIDC 集成 azure 广告,我正在使用 MSAL4J https://search.maven.org/artifact/com.microsoft.azure/msal4j和 Microsoft 提供的以下示例:

https://github.com/Azure-Samples/ms-identity-java-webapp/tree/master/msal-java-webapp-sample

我只想要 OpenID 连接进行身份验证,而不想要 accessToken。对于我的用例 id_token 应该足够了

请问我是否必须明确验证签名,我看到 Msal4j 不验证签名签名。

请让我知道验证 id_token 是否是登录用户的安全过程。

标签: azureazure-active-directoryopenid-connect

解决方案

建议对 Web 应用程序(“机密客户端应用程序”)进行验证id token,但对于“应该验证多少”没有硬性要求。如果您的 Web 应用程序通过身份提供者的 https 连接接收令牌,那么您是相对安全的。至少(在验证签名后 -more info here之后),您应该验证audandnonce声明,它分别代表令牌的预期接收者和令牌是否正在重放。文档中的更多详细信息。

编辑:更正了有关 MSAL4J 是否验证令牌的声明。

推荐阅读