0

我正在使用 adal4j v1.1.2 根据客户端证书获取令牌。

引用的片段:为什么带有 ClientCredential 的 AcquireToken 会因 invalid_client (ACS50012) 而失败?

String AAD_HOST_NAME = "login.windows.net";
String AAD_TENANT_ID = "XXX";
String AAD_TENANT_ENDPOINT = "https://" + AAD_HOST_NAME + "/" + AAD_TENANT_ID + "/";
String AAD_CLIENT_ID = "XXX";
String AAD_RESOURCE_ID = "https://vault.azure.net";
String AAD_CERTIFICATE_PATH = "/XXX.pfx";
String AAD_CERTIFICATE_PASSWORD = "XXX";
String AAD_CLIENT_SECRET = "XXX";

ExecutorService service = ExecutorServiceHelper.createThreadPool(1, "azureHSMClientExecutorService-");

KeyStore keystore = KeyStore.getInstance("PKCS12", "SunJSSE");
keystore.load(new FileInputStream(AAD_CERTIFICATE_PATH),AAD_CERTIFICATE_PASSWORD.toCharArray());
String alias = keystore.aliases().nextElement();
PrivateKey key = (PrivateKey) keystore.getKey(alias, AAD_CERTIFICATE_PASSWORD.toCharArray());
X509Certificate cert = (X509Certificate) keystore.getCertificate(alias);
AsymmetricKeyCredential asymmetricKeyCredential = AsymmetricKeyCredential.create(AAD_CLIENT_ID,key, cert);
AuthenticationContext ctx = new AuthenticationContext(AAD_TENANT_ENDPOINT, false, service);
Future<AuthenticationResult> result = ctx.acquireToken(AAD_RESOURCE_ID, asymmetricKeyCredential, null);
AuthenticationResult authenticationResult = result.get();
String token = authenticationResult.getAccessToken();

这导致以下身份验证异常

AuthenticationException: com.microsoft.aad.adal4j.AuthenticationException: {"error":"invalid_client","error_description":"AADSTS70002: Error validating credentials. AADSTS50027: Invalid JWT token. No certificate thumbprint specified in token header.\r\nTrace ID: 9719e621-d8ef-4194-93cd-a78103d5df6b\r\nCorrelation ID: f0300795-fb99-44b2-bd95-8df3975290be\r\nTimestamp: 2016-08-29 13:51:26Z"}

我不确定如何在调用时传递指纹acquireToken。这里有什么遗漏吗?

4

1 回答 1

0

根据您的代码,您似乎想使用证书向 Azure 服务管理 API 进行身份验证,但获取访问令牌的代码似乎使用 Azure AD 进行身份验证。您可以参考文章Authenticating Service Management Requests了解它们的区别。

作为参考,有一篇博客介绍了如何在 Java 中使用带有证书的 Windows Azure 服务管理 API。

但是,根据我的经验,根据代码String AAD_RESOURCE_ID = "https://vault.azure.net";,您似乎还想对 Azure Key Vault 进行一些管理操作。使用 Azure Key Vault Management的 REST API 参考,您应该使用 Azure 资源管理器获取访问令牌来执行这些操作。所以如果你想管理 Key Vault,请参考其他博客了解如何在 Java 中使用 ARM 进行身份验证。

希望能帮助到你。

更新:

对于AAD_RESOURCE_IDKey Vault 应该是这样/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{vault-name}的,请参考文章https://msdn.microsoft.com/en-us/library/azure/mt620025.aspx并搜索关键字resource id,如下图所示。 在此处输入图像描述

您可以通过 Azure CLI 命令获取资源 ID azure keyvault show --vault-name <your-keyvault-name>

于 2016-09-02T07:41:23.217 回答