2

我正在尝试让自定义 Web 应用程序与 Azure B2C OAuth 和 Spring OAuth2.0 框架一起使用。

身份验证部分恢复正常,我收到了一个 JWT 令牌。之后发生令牌请求时,我收到以下错误:

java.lang.IllegalStateException: Access token provider returned a null access token, which is illegal according to the contract.
at org.springframework.security.oauth2.client.OAuth2RestTemplate.acquireAccessToken(OAuth2RestTemplate.java:223) ~[spring-security-oauth2-2.0.8.RELEASE.jar:na]
at org.springframework.security.oauth2.client.OAuth2RestTemplate.getAccessToken(OAuth2RestTemplate.java:173) ~[spring-security-oauth2-2.0.8.RELEASE.jar:na]
...

从 spring 代码的一些调试中,我可以看到令牌应该被调用access_token,如在OAuth2AccessToken类中看到的那样。通过查看 B2C 教程,他们的令牌被称为token_id. 此外,我的 spring 应用程序的 applications.yml 配置有一个名为 tokenName 的字段。当然,这应该用于获取令牌名称字段,而不是如上所述的硬编码静态变量。

我是否遗漏了什么,是否有解决我的问题的方法。我可以覆盖 Spring OAuth 框架使用的令牌名称字段吗?

4

1 回答 1

0

我将继续并将其发布为答案。

我从 Spring 教程开始,并对其进行了一些修改。有关工作示例,请参阅公共 github 存储库:https ://github.com/Pytry/azure-b2c-oauth2.git

要正确解析收到的令牌,您需要:

  • AccessToken 的自定义实现,它将解析 JWT,根据 Spring Security 的要求提取和设置变量。我扩展了 DefaultOAuth2AccessToken 并将这个解析添加到构造函数调用的私有方法中。

  • 如果您要使用公钥验证 RSA 签名,您将需要一个自定义 JWT 对象,以便您可以访问标头信息。我选择扩展 springs JWT,并在创建时添加一些解析以访问标题。使用一些自定义 Pojo 来解析返回的元数据和 rsakey 信息也可能很有用。

  • JwtAccessTokenConverter 的扩展,具有重写的“解码”方法。Azure 不会在返回的 id_token 中提供“user_name”或“client_id”,因此您需要添加它们。我还在我发现 suefull 的超类中包含了一些逻辑(例如在适当的时候将字符串转换为 int/long)。

  • 一个自定义 UserDetailsManger 来覆盖内存中的默认值。这可以从 GraphAPI 中检索用户信息,也可以从您的用户存储库中加载它。我实际上并没有创建其中任何一个,而是使用了内存服务中的默认值,而是将其注入到令牌转换器中;然后,只要用户通过了正确的身份验证,我就会将它们添加到管理器存储中,或者如果它们已经存在则更新它们。

有几件事我还没有做。

  • 未进行 RSA 验证。对此的任何帮助表示赞赏。
于 2016-03-03T19:41:37.463 回答