堆栈内存溢出
  繁体   English   中英

如何在 python 中验证来自 AzureAD 的 JWT?

[英]How to validate a JWT from AzureAD in python?

 原文  2020-07-31 15:49:10       python/ jwt/ azure-active-directory/ signature/ jose

问题描述

我已经使用 AzureAD 设置了授权服务器。 为了测试它,我目前正在应用隐式流并获取令牌和 id_token 我使用https://oidcdebugger.com/

现在我想弄清楚如何正确验证资源服务器端的令牌。 我总是收到jose.exceptions.JWTError: Signature verification failed 你能帮我找出我做错了什么吗? 我对 JWT 验证真的很陌生,可能在某个地方存在一些明显的错误。

https://login.microsoftonline.com/{tenant_id}/v2.0/.well-known/openid-configuration的 OIDC 元数据端点所定义,用于签名验证的密钥可在https://login.microsoftonline.com/{tenant_id}/discovery/v2.0/keys 该端点上的密钥 ID 与我的令牌标头中的kid值匹配。 所以,我很肯定这些是我的钥匙。 它们看起来像这样:

{
   "kty": "RSA",
   "use": "sig",
   "kid": "<the-key-id>",
   "x5t": "<the-key-id>",
   "n": "<a-long-hash>",
   "e": "AQAB",
   "x5c": ["<a-long-hash-I-guess-thats-the-public-key"],
   "issuer": "https://login.microsoftonline.com/<my-tenant-id>/v2.0"
}

这篇文章的答案中,密钥是使用cryptography.x509手工构建的。 我尝试了同样的方法,但我必须更改一些细节才能使其运行。 我是.encode字符串,我必须将一个可迭代传递给decode function。

import requests
from jose import jwt
from cryptography.x509 import load_pem_x509_certificate
from cryptography.hazmat.backends import default_backend

AZURE_TENANT_ID = '<my-tenant-id>'
AZURE_KEYS = requests.get(url='<my-jwks_url>').json()['keys']

PEMSTART = "-----BEGIN CERTIFICATE-----\n"
PEMEND = "\n-----END CERTIFICATE-----\n"


def decode(token: str, keys: list):
    token_header = jwt.get_unverified_header(token=token)
    x5t = token_header['x5t']

    key = [d for d in keys if d['x5t'] == x5t][0]
    mspubkey = key['x5c'][0]

    cert_str = PEMSTART + mspubkey + PEMEND
    cert_obj = load_pem_x509_certificate(cert_str.encode(), default_backend())
    public_key = cert_obj.public_key()

    return jwt.decode(
        token=token,
        subject='<my-subject>',
        audience='<my-audience>',
        issuer=f'https://sts.windows.net/{AZURE_TENANT_ID}/',
        algorithms=['RS256'],
        key=[public_key])

1 个解决方案

解决方案1
 0 已采纳  2020-08-04 07:04:07

似乎我不应该验证(访问)令牌,只验证 id_token 签名。 使用jose的验证也可以通过仅提供密钥 dict 作为keys参数来工作(无需构造证书)。

显然,来自 AzureAD 的(访问)令牌不一定是标准的 JWT。 它只应该用于访问 MS GraphAPI: https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet/issues/609#issuecomment-529537264

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何使用 python_jwt 验证 firebase 令牌 使用密钥斗篷在 python API 中验证 JWT 令牌 尝试使用 AzureAD 登录从 python 连接到雪花时出错 如何使用 python 在 FastAPI 中使用 JWT 令牌和 Oauth2 验证用户登录和注销 如何在 python 中使用 x 和 y 坐标验证 ES384 JWT 签名 如何在python中编码JWT 如何验证来自 json 响应(Python)的数据? Python JWT 未使用谷歌公钥验证 验证来自 AAD Azure 的 JWT access_token 失败 Django 不验证或查看来自 Azure 的 JWT 令牌
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM