Asp.Net Core Azure AD V1.0 JWT身份验证无效签名

时间:2018-01-15 10:04:15

标签: c# jwt azure-active-directory microsoft-graph asp.net-core-2.0

我必须创建一个使用Microsoft Graph资源的ASP.NET Core 2.0 Web API应用程序。我尝试使用以下属性的应用程序使用JWT身份验证:

Audience: "CLIENT_ID";
Authority: "https://login.microsoftonline.com/TENANT_ID"

这里的想法是我有一个SPA应用程序,它使用ADAL获取一个访问令牌,该令牌应该用于Web API中的身份验证。获取的令牌在Microsoft Graph Requests中成功进行身份验证,但未通过JWT身份验证。未经授权的响应错误是:

  

签名无效

以下是反序列化的令牌:

{
  "typ": "JWT",
  "nonce": "AQABAAAAAABHh4kmS_aKT5XrjzxRAtHzXF_CqRIDpjJHoJWBZWfqGU15M5j1xqsBga7obz1SUDjg3Ft56m4bTqls5nSs1T0ymPVzRTHZ7osxohQx9iRClSAA",
  "alg": "RS256",
  "x5t": "z44wMdHu8wKsumrbfaK98qxs5YI",
  "kid": "z44wMdHu8wKsumrbfaK98qxs5YI"
}.{
  "aud": "https://graph.microsoft.com",
  "iss": "https://sts.windows.net/TENANT_ID/",
  "iat": 1515769573,
  "nbf": 1515769573,
  "exp": 1515773473,
  "acr": "1",
  "aio": "Y2NgYHjhxRdU0DHj52u1ANkNv4qnVYoUbA2vYDu/dHHH1UcTUiwA",
  "amr": [
    "pwd"
  ],
  "app_displayname": "APP_NAME",
  "appid": "CLIENT_ID",
  "appidacr": "0",
  "e_exp": 262800,
  "ipaddr": "80.72.72.11",
  "name": "NAME",
  "oid": "USER_ID",
  "platf": "3",
  "puid": "1003BFFDA650568E",
  "scp": "Directory.ReadWrite.All EduAssignments.ReadWrite Mail.Send User.Read User.ReadBasic.All User.ReadWrite.All",
  "sub": "60Oat50bmTi24tObKrBPrjIpotUdZkUl5h0x0I6dLi0",
  "tid": "TENANT_ID",
  "unique_name": "UNIQUE_NAME",
  "upn": "UPN",
  "uti": "9z7lfwGNmkmqEO7KpWcKAA",
  "ver": "1.0"
}.[Signature]

Jwt.ms表示它是Azure AD V1.0令牌。所以它应该有点有效。我尝试使用MSAL获取Azure AD V2.0令牌,该令牌在Web API中成功进行身份验证,但在尝试创建图形请求时失败。我做错了什么?

修改 我将配置更改为再次使用v2.0令牌,然后尝试使用@ juunas的指南获取图形访问令牌,如下所示:

var userAssertion = new UserAssertion(token, assertionType, email);

var authContext = new AuthenticationContext("https://login.microsoftonline.com/common/v2.0");
var clientCredential = new ClientCredential("CLIENT_ID", "CLIENT_SECRET");
//Acquire access token
var result = await authContext.AcquireTokenAsync("https://graph.microsoft.com", clientCredential, userAssertion);
string graphToken = result.AccessToken;

但是AcquireTokenAsyncMethod会引发以下错误:

  

令牌发行者与api版本不匹配:版本2令牌可以   仅用于v2端点

我觉得这很奇怪,因为现在为v2.0配置了所有内容,而我的令牌是带有发布者的有效Azure AD v2.0令牌:https://login.microsoftonline.com/TENANT_ID/v2.0

1 个答案:

答案 0 :(得分:0)

您的API需要单独的访问令牌。

Azure AD中的访问令牌始终仅适用于单个API /资源。

此外,如果您需要从API调用MS Graph API,您可能需要查看On-Behalf-Of授权:https://joonasw.net/view/azure-ad-on-behalf-of-aspnet-core

该流程的基本思想是,当您的API获得包含具有用户上下文的访问令牌的调用时,您可以将该令牌+您的API凭据交换为另一个仍具有的API的新访问令牌相同用户的上下文。

相关问题
最新问题