在控制台应用程序中验证 Azure AD 不记名令牌
Validation of an Azure AD Bearer Token in a Console Application
您可以找到大量示例,了解如何使用 JWT 持有者身份验证通过 Azure AD 保护 ASP.Net 应用程序。这就像在您的 Startup 中添加一些关于您的 AAD 的信息一样简单,例如:
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
Authority = "https://login.windows.net/...",
Audience = "...",
});
app.UseMvc();
}
这些示例没有任何问题,所有令牌验证魔术都在幕后发生,您不必关心它。但实际上我想知道如何验证 ASP.Net 之外的 Azure AD Bearer Token,例如在控制台应用程序中。
在控制台应用程序中,我希望有如下内容:
public static void Main(string[] args)
{
string token = "...";
JwtSecurityToken validatedJwtToken = validateJwtToken(token);
}
private static JwtSecurityToken validateJwtToken(string token)
{
JwtSecurityToken jwtToken = new JwtSecurityToken(token)
//
// how to validate the AAD token?!
//
if(/* is valid */)
{
return jwtToken;
}
else
{
return null;
}
}
不幸的是我还没有找到一个工作示例,但我无法想象这个问题没有简单的解决方案。非常感谢任何建议!
找到解决方案 - 基于 https://github.com/Azure-Samples/active-directory-dotnet-webapi-manual-jwt-validation:
private const string AUDIENCE = "<GUID of your Audience>";
private const string TENANT = "<GUID of your Tenant>";
private static async Task<SecurityToken> validateJwtTokenAsync(string token)
{
// Build URL based on your AAD-TenantId
var stsDiscoveryEndpoint = String.Format(CultureInfo.InvariantCulture, "https://login.microsoftonline.com/{0}/.well-known/openid-configuration", TENANT);
// Get tenant information that's used to validate incoming jwt tokens
var configManager = new ConfigurationManager<OpenIdConnectConfiguration>(stsDiscoveryEndpoint);
// Get Config from AAD:
var config = await configManager.GetConfigurationAsync();
// Validate token:
var tokenHandler = new JwtSecurityTokenHandler();
var validationParameters = new TokenValidationParameters
{
ValidAudience = AUDIENCE,
ValidIssuer = config.Issuer,
IssuerSigningTokens = config.SigningTokens,
CertificateValidator = X509CertificateValidator.ChainTrust,
};
var validatedToken = (SecurityToken)new JwtSecurityToken();
// Throws an Exception as the token is invalid (expired, invalid-formatted, etc.)
tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
return validatedToken;
}
这只是原始基础知识,并且仅使用 net452 进行了测试。查看上面的 link 以了解更多用法(例如,将 SigningTokens 缓存一段时间)。
您可以找到大量示例,了解如何使用 JWT 持有者身份验证通过 Azure AD 保护 ASP.Net 应用程序。这就像在您的 Startup 中添加一些关于您的 AAD 的信息一样简单,例如:
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
Authority = "https://login.windows.net/...",
Audience = "...",
});
app.UseMvc();
}
这些示例没有任何问题,所有令牌验证魔术都在幕后发生,您不必关心它。但实际上我想知道如何验证 ASP.Net 之外的 Azure AD Bearer Token,例如在控制台应用程序中。
在控制台应用程序中,我希望有如下内容:
public static void Main(string[] args)
{
string token = "...";
JwtSecurityToken validatedJwtToken = validateJwtToken(token);
}
private static JwtSecurityToken validateJwtToken(string token)
{
JwtSecurityToken jwtToken = new JwtSecurityToken(token)
//
// how to validate the AAD token?!
//
if(/* is valid */)
{
return jwtToken;
}
else
{
return null;
}
}
不幸的是我还没有找到一个工作示例,但我无法想象这个问题没有简单的解决方案。非常感谢任何建议!
找到解决方案 - 基于 https://github.com/Azure-Samples/active-directory-dotnet-webapi-manual-jwt-validation:
private const string AUDIENCE = "<GUID of your Audience>";
private const string TENANT = "<GUID of your Tenant>";
private static async Task<SecurityToken> validateJwtTokenAsync(string token)
{
// Build URL based on your AAD-TenantId
var stsDiscoveryEndpoint = String.Format(CultureInfo.InvariantCulture, "https://login.microsoftonline.com/{0}/.well-known/openid-configuration", TENANT);
// Get tenant information that's used to validate incoming jwt tokens
var configManager = new ConfigurationManager<OpenIdConnectConfiguration>(stsDiscoveryEndpoint);
// Get Config from AAD:
var config = await configManager.GetConfigurationAsync();
// Validate token:
var tokenHandler = new JwtSecurityTokenHandler();
var validationParameters = new TokenValidationParameters
{
ValidAudience = AUDIENCE,
ValidIssuer = config.Issuer,
IssuerSigningTokens = config.SigningTokens,
CertificateValidator = X509CertificateValidator.ChainTrust,
};
var validatedToken = (SecurityToken)new JwtSecurityToken();
// Throws an Exception as the token is invalid (expired, invalid-formatted, etc.)
tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
return validatedToken;
}
这只是原始基础知识,并且仅使用 net452 进行了测试。查看上面的 link 以了解更多用法(例如,将 SigningTokens 缓存一段时间)。