如何验证由MS Azure AD生成的JWT id_token？

Question

如何验证由MS Azure AD生成的JWT id_token？

19

我有一个使用ADAL-JS (和 adal-angular) 的 AngularJS SPA Web 应用程序，它设置了身份验证以针对我们在 MS Azure 中的公司 AD 进行身份验证。登录流程似乎工作正常，并且 SPA 接收到一个 id_token。

接下来，当用户单击按钮时，SPA 将向我在 AWS API Gateway 上托管的 REST API 发出请求。我在 Authorization: Bearer <id_token> 标头中传递 id_token。API Gateway 按预期接收到头信息，现在必须确定给定的令牌是否有效，以允许或拒绝访问。

我有一个示例标记，在https://jwt.io/上正确解析，但是我迄今为止未能找到应该用于验证签名的公钥或证书。我查看了以下内容：

https://login.microsoftonline.com/{tenantid}/federationmetadata/2007-06/federationmetadata.xml
https://login.microsoftonline.com/{tenantId}/discovery/keys
https://login.microsoftonline.com/common/.well-known/openid-configuration（获取 jwks_uri）
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
https://login.microsoftonline.com/common/discovery/keys

https://login.microsoftonline.com/common/discovery/v2.0/keys

我认为应该使用与JWT id_token中的kid和x5t属性匹配的https://login.microsoftonline.com/common/discovery/keys键的x5c属性值（当前为a3QN0BZS7s4nN-BdrjbF0Y_LdMM，对应的x5c值以“MIIDBTCCAe2gAwIBAgIQY…”开头）。但是，https://jwt.io/网页显示“无效签名”（我还尝试用“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”包裹密钥值）。

此外，是否有（可能是Python的）库能够方便地验证上述id_token（这样我就不必自己获取签名密钥了）？最好能找到的(Python的ADAL)似乎并未提供此功能？

- FOR

你看过这个吗？ - 4c74356b41

嗨 @4c74356b41 - 感谢链接！可能会很方便，但是...我没看到该库中检查令牌签名的地方在哪里？ - FOR

3个回答

2

对于JVM解决方案，使用com.nimbusds:numbus-jose-jwt:4.29是解析和验证已签名RSA256 id_token最直接的方法。以下Scala代码使用JSON Web Key解析JWT令牌：

    val jwt = SignedJWT.parse(token)

    val n = new Base64URL("Your Modulus Component of RSA Key")
    val e = new Base64URL("AQAB")
    val rsaKey = new RSAKey.Builder(n, e).keyUse(KeyUse.SIGNATURE).algorithm(JWSAlgorithm.RS256).build()

    val verified = jwt.verify(new RSASSAVerifier(rsaKey))

您的应用程序仍需要动态地从Azure Active Directory B2C的discovery/v2.0/key获取JSON Web Key Set，以获取可能由AAD B2C使用的密钥集。为了提高效率，这些内容应该被缓存并且TTL不超过24小时。

- k.c. sham

0

此外，是否有（可能是Python的）库可以方便地验证给定的id_token，就像上面的情况一样（这样我就不必自己抓取签名密钥了）...我能找到的最好的（Python的ADAL）似乎没有提供这个功能？

值得一提的是，ADAL Python的继承者MSAL Python在幕后验证了id token，并为您的应用程序提供了id token中解码的声明。因此，您的应用程序 - 刚刚通过MSAL Python获得了该id token - 可以在本地使用它。

接下来，当用户点击按钮时，SPA会向我在AWS API Gateway上托管的REST API发出请求。我在Authorization: Bearer <id_token>头中传递了id_token。API Gateway按预期接收到了标头，现在必须确定给定的令牌是否有效，以允许或拒绝访问。

通常情况下，ID令牌不会用于“在Authorization: Bearer <id_token>头部”发送给第三方进行授权目的。可能因人而异。

- RayLuo

这对OP的问题有效吗？听起来他们正在使用FE客户端库提供的令牌，将其发送到BE需要进行验证。我遇到了类似的困境：在客户端使用@ azure / msal-react并需要发送到Django / DRF服务器以验证令牌是否有效并且属于发送它的人。MSAL Python是否具有此功能或者它是否适用于通过它检索的令牌不是完全清楚的。 - cjones

@cjones，我目前正在尝试在Django API上验证React中的jwt token，这已经让我头疼了一个星期。如果您已经解决了问题并且有示例代码，请帮忙一下。 - Elliot13

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- FOR · Accepted Answer

到目前为止，我能够提供的最佳解决方案是:

从https://login.microsoftonline.com/common/discovery/keys或https://login.microsoftonline.com/common/discovery/v2.0/keys中获取证书（在x5c属性数组中的第一个值），并匹配来自id_token的kid和x5t。

将证书用-----BEGIN CERTIFICATE-----\n和\n-----END CERTIFICATE-----包装起来（换行符似乎很重要），并将结果作为公钥（与id_token一起，在https://jwt.io/上）使用。

当然，您实际的用例可能是要让某些程序验证传入的JWT id_tokens，因此您的目标不会仅仅是通过https://jwt.io/上的Web UI获取令牌进行验证。

例如，在Python中，我需要这样做：

#!/usr/bin/env python

import jwt
from cryptography.x509 import load_pem_x509_certificate
from cryptography.hazmat.backends import default_backend

PEMSTART = "-----BEGIN CERTIFICATE-----\n"
PEMEND = "\n-----END CERTIFICATE-----\n"

mspubkey = "The value from the x5c property"
IDTOKEN = "the id_token to be validated"
tenant_id = "your tenant id"

cert_str = PEMSTART + mspubkey + PEMEND
cert_obj = load_pem_x509_certificate(cert_str, default_backend())
public_key = cert_obj.public_key()

decoded = jwt.decode(IDTOKEN, public_key, algorithms=['RS256'], audience=tenant_id)
if decoded:
    print "Decoded!"
else:
    print "Could not decode token."

关于各种编程语言的JWT库列表，请参见JWT网站。我正在使用pyjwt，以及它的cryptography依赖项（它具有二进制依赖项，因此需要为目标操作系统构建和打包）。

当然，您还可以验证其他详细信息，例如声明，如此处推荐的那样。