6

我正在尝试编写一个移动应用程序,该应用程序将从基于 webapi 的站点获取数据。

该站点应通过 ACS 保护(因为可以有多个身份提供者)。

我的移动应用程序目前正在查询以下网址https://xx.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=javascriptnotify&realm=http://xx.azurewebsites.net/&version=1.0以获取列表的 IP。

然后我允许用户选择一个 IP,然后使用 Web 浏览器控件向他们显示登录信息。

用户登录后,我会捕获响应并提取令牌,但现在我不确定我应该做什么。令牌如下所示:-

{"appliesTo":"http://****.azurewebsites.net/",
"context":null,
"created":1362069383,
"expires":1362072983,
"securityToken":"... a lot of text:-)",
"tokenType":"urn:ietf:params:oauth:token-type:jwt"}

所以,我猜我应该使用 securityToken 部分并将它的 Authorization 标头的一部分添加到 get 请求中?

问题 1 是我应该如何附加令牌 - 我只是附加安全令牌位,还是必须对批次进行 base 64 编码并再次将其附加为授权标头?

问题 2 如何配置 webapi 来处理 JWT?在我修改 ACS 以发出 JWT 令牌并安装 JWTSecurityTokenHandler 后,我仍然收到以下错误(这是被动身份验证):

 JWT10310: Unable to validate signature. validationParameters.SigningTokenResolver type: 'System.IdentityModel.Tokens.IssuerTokenResolver', was unable to resolve key to a token.
 The SecurityKeyIdentifier is: 
 'SecurityKeyIdentifier
    (
    IsReadOnly = False,
    Count = 1,
    Clause[0] = X509ThumbprintKeyIdentifierClause(Hash =  0x2FEE3EE96B019D4BA0C046124B77C652EEF768E5)
    )
 '. validationParameters.SigningToken was null.

谢谢

罗斯

4

1 回答 1

8

尽管您没有使用 Azure 身份验证库,但此 AAL 代码示例有助于展示如何使用新的JWT 令牌处理程序通过请求管道中的 HTTP 消息处理程序对 Web API 的请求进行身份验证。该代码显式处理 ACS 发布的 JWT。特别是查看TokenValidationHandler. Global.asax.cs流程是这样的:

  1. 来自客户端应用程序的传入请求由消息处理程序检查。
  2. 使用 JWTTokenHandler 检查和验证授权标头。
  3. 如果 JWT 令牌有效,则 JWTTokenHandler 实例化一个新的 ClaimsPrincipal 对象。如果令牌无效,则返回 HTTP 401 Unauthorized 响应。

回到您的第一个问题,您只需要该"securityToken"值(类似于eyJ0eXAiOiJK...)来创建一个授权标头,例如Authorization: Bearer eyJ0eXAiOiJK.... 当它在请求中传递给您的 Web API 时,JWTTokenHandler 将通过消息处理程序对其进行验证。当然,这假设您的 Web API 已正确配置,以了解您用于从 ACS 获取令牌的 ACS 租户和安全域。

编辑:查看有关保护 REST 服务并从移动应用程序访问它们的模式和实践指南 - 非常相似的场景可能有助于为您提供更多上下文。

于 2013-03-09T03:18:59.217 回答