1

我有一个 Angular 10 应用程序,我正在使用 MSAL-Angular 包对 Azure AD 进行身份验证。它使用授权流程成功地进行了身份验证access_token和检索。id_token

我还有一个 Express API 后端,我将 access_token 附加到(使用 Interceptor from Msal-Angular)到请求的标头上。我想验证此令牌以验证 Angular 应用程序在允许访问 api 之前是否已通过身份验证。为此,我尝试使用passport-azure-adBearerStrategy。我相信我已经正确设置了所有内容,但它一直告诉我无法验证令牌。

我发现如果我使用它id_token而不是access_token它可以被验证;通过护照策略和使用jwt.io。

所以这里真正的问题是我可以在我的配置中做一些不同的事情来验证access_token通过使用Msal-Angular还是我应该编写自己的拦截器来发送id_token而不是access_token


API Passport 配置代码-我在这里要做的就是让护照验证通过,然后填写回调函数。

const options: IBearerStrategyOptionWithRequest = {
  identityMetadata:
    'https://login.microsoftonline.com/{tenet}.onmicrosoft.com/v2.0/.well-known/openid-configuration',
  clientID: '{my_client_id}',
  validateIssuer: true,
  loggingLevel: 'info',
  loggingNoPII: false,
  passReqToCallback: true,
};

const bearerStrategy = new BearerStrategy(options,
  function (req, token, done) {
    logger.debug(req);
    logger.debug(token);

    return done(null, { name: 'user name' }, token);
  });

passport.use(bearerStrategy);

保护路线

function (req, res, next) {passport.authenticate('oauth-bearer', { session: false }),  listTasks);

给出的错误:

{
  "name":"AzureAD: Bearer Strategy",
  "hostname":"my_host",
  "pid":36344,
  "level":30,
  "msg":"authentication failed due to: invalid signature",
  "time":"2021-03-02T20:50:02.140Z",
  "v":0
}
4

1 回答 1

1

我想通了。这与我在 access_token 上获得的范围有关。我正在使用'user.read', 和'email', 当我切换到 using 时'{client_id}/.default',可以使用 v1 众所周知的元数据 url 验证生成的令牌。

总的来说,我对范围仍然有些粗略,但这是我发现导致解决我的问题的更改的页面。

接受 v1.0 令牌的 Web API 的范围

于 2021-03-03T17:41:08.477 回答