adfs(oauth2)令牌验证howto?

时间:2016-09-05 14:39:29

标签: java oauth-2.0 jwt adfs windows-server-2012-r2

我为OAuth2设置了ADFS3.0,我终于在我的Client-APP上获得了“Access-Token”。

Somethig喜欢这样:

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8

{ 
    "access_token":"<access_token>",
    "token_type":"bearer",
    "expires_in":3600
}

令牌由标题部分,有效负载和签名组成。

现在我将带有令牌的请求发送到我的资源服务器。我想从我的资源服务器验证令牌与ADFS(Auth Server和IDP)。

这是我在adfs上的证书:

CertificateType : Token-Signing
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : xyz

如何做到这一点?

更新的 有关令牌的一些信息:

部首:

{
  "typ": "JWT",
  "alg": "RS256",
  "x5t": "abc"
}

有效载荷:

{
  "aud": "https://serverurl",
  "iss": "http://.../adfs/services/trust",
  "iat": 1473063317,
  "exp": 1473066917,
  "auth_time": "2016-09-05T08:15:17.875Z",
  "authmethod":     "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport",
  "ver": "1.0",
  "appid": "some-uid"
}

签名:

{
  RSASHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    Ceritifate/secret
}

计划授权授权流程(简短版本无授权授权代码详情):

我们有自己的客户端应用程序(颁发者)从ADFS请求令牌(auth + idp)然后将令牌+请求发送到资源服务器,然后资源服务器应该针对ADFS验证令牌。我缺少的是,如果sigature / token有效,则来自ADFS的某个端点。 Thers是ADFS服务器上的/ adfs / oauth2端点(我也从中获得了访问权限),但微软的文档有些缺乏......

1 个答案:

答案 0 :(得分:1)

您想要验证签名。

如果是,请参阅OAuth2 : Verifying the Azure AD JWT signature

基本上使用“熟知/开放配置”来获取“common / discovery / keys”,然后从中构建证书。

相关问题
最新问题