我有一个 Angular 10 应用程序,我正在使用 MSAL-Angular 包对 Azure AD 进行身份验证。它使用授权流程成功地进行了身份验证access_token
和检索。id_token
我还有一个 Express API 后端,我将 access_token 附加到(使用 Interceptor from Msal-Angular
)到请求的标头上。我想验证此令牌以验证 Angular 应用程序在允许访问 api 之前是否已通过身份验证。为此,我尝试使用passport-azure-ad
BearerStrategy。我相信我已经正确设置了所有内容,但它一直告诉我无法验证令牌。
我发现如果我使用它id_token
而不是access_token
它可以被验证;通过护照策略和使用jwt.io。
所以这里真正的问题是我可以在我的配置中做一些不同的事情来验证access_token
通过使用Msal-Angular
还是我应该编写自己的拦截器来发送id_token
而不是access_token
?
API Passport 配置代码-我在这里要做的就是让护照验证通过,然后填写回调函数。
const options: IBearerStrategyOptionWithRequest = {
identityMetadata:
'https://login.microsoftonline.com/{tenet}.onmicrosoft.com/v2.0/.well-known/openid-configuration',
clientID: '{my_client_id}',
validateIssuer: true,
loggingLevel: 'info',
loggingNoPII: false,
passReqToCallback: true,
};
const bearerStrategy = new BearerStrategy(options,
function (req, token, done) {
logger.debug(req);
logger.debug(token);
return done(null, { name: 'user name' }, token);
});
passport.use(bearerStrategy);
保护路线
function (req, res, next) {passport.authenticate('oauth-bearer', { session: false }), listTasks);
给出的错误:
{
"name":"AzureAD: Bearer Strategy",
"hostname":"my_host",
"pid":36344,
"level":30,
"msg":"authentication failed due to: invalid signature",
"time":"2021-03-02T20:50:02.140Z",
"v":0
}